微软警示：Claude代码漏洞或致GitHub凭据遭窃取_新闻

免责声明：内容不构成买卖依据，投资有风险，入市需谨慎！

微软警示：Claude代码漏洞或致GitHub凭据遭窃取

2026-06-07 02:23:43

微软研究人员揭示人工智能编码助手潜在安全风险微软研究人员近期披露了Anthropic公司Claude Code GitHub工具中一个已修复的安全漏洞。该漏洞可能使攻击者通过恶意GitHub内容操控人工智能代理，从而获取软件开发流程中存储的敏感凭证信息。持续集成环境中的新型威胁微软在技术报告中指出，运行在持续集成与部署工作流中的人工智能编码助手可能带来新的安全风险。这些环境通常储存着API密钥、云服务凭证及其他敏感数据。研究团队表示，他们在多个厂商的公共代码库中观察到利用人工智能辅助工作流进行提示词注入的尝试，攻击者可通过问题提交或代码合并请求等内容影响人工智能代理的工具调用行为。提示词注入攻击的演变随着人工智能代理的广泛应用，提示词注入攻击已成为其主要安全威胁之一。此类攻击通过电子邮件、文档、网站或代码注释等载体隐藏恶意指令，诱使人工智能系统执行攻击者意图而非用户指令。在GitHub平台上，攻击者可能通过问题提交、合并请求或评论等方式植入恶意提示，操控编码助手访问含有机密凭证的文件。漏洞验证与攻击手法为验证漏洞可行性，研究团队创建了特制工作流，并将恶意指令隐藏于可控域名的内容中。这种设计成功绕过了安全防护机制，诱使人工智能代理读取敏感凭证并修改其格式以规避检测系统。攻击者随后可通过问题评论、工作流日志、网络请求或命令行等多种渠道重建并提取凭证信息。技术报告特别指出：“为突破安全拒绝机制，我们将恶意载荷隐藏在可控域名的响应内容中。同时将工作流触发权限扩展至无写入权限的用户，以确保测试期间所有防护机制均处于激活状态。” 安全修复与行业警示该漏洞已于5月5日通过版本更新完成修复。微软强调，尽管存在多层内置安全控制，但具有足够动机的攻击者仍可能通过精心设计的攻击链获取敏感信息。报告最后警示：“我们正在进入自然语言即可执行代码的时代，必须默认将GitHub问题提交等未经验证的输入视为潜在威胁。一条精心构造的注释配合被误解的信任边界，就可能导致生产环境凭证泄露。”

免责声明：

本网站、超链接、相关应用程序、论坛、博客等媒体账户以及其他平台和用户发布的所有内容均来源于第三方平台及平台用户。百亿财经对于网站及其内容不作任何类型的保证，网站所有区块链相关数据以及其他内容资料仅供用户学习及研究之用，不构成任何投资、法律等其他领域的建议和依据。百亿财经用户以及其他第三方平台在本网站发布的任何内容均由其个人负责，与百亿财经无关。百亿财经不对任何因使用本网站信息而导致的任何损失负责。您需谨慎使用相关数据及内容，并自行承担所带来的一切风险。强烈建议您独自对内容进行研究、审查、分析和验证。

展开阅读全文

微软警示：Claude代码漏洞或致GitHub凭据遭窃取

更多新闻

我的自选