Apa yang terjadi
Tim Penelitian Keamanan Defender Microsoft mempublikasikan pada 5 Juni analisis tentang bypass model izin dalam Claude Code GitHub Actions milik Anthropic yang memungkinkan kontributor eksternal tanpa akses tulis untuk memicu alur kerja melalui bypass kepercayaan GitHub App (setiap aktor GitHub App dipercaya secara tak bersyarat terlepas dari izinnya yang sebenarnya). Peneliti Flatt Security RyotaK secara independen mengungkapkan pada 1 Juni bahwa masalah GitHub yang berbahaya dapat digunakan untuk memberi umpan masukan yang tidak tepercaya ke alur kerja, berpotensi menyuntikkan kode ke repositori apa pun yang menggunakannya — termasuk repositori Anthropic sendiri. Anthropic menambal masalah ini dalam Claude Code GitHub Actions v1.0.94.
Mengapa penting
Ini menunjukkan bahwa agen pengkodean AI yang tertanam dalam saluran pipa CI/CD mewarisi radius ledakan saluran pipa itu sendiri — Claude Code GitHub Action yang dikompromikan memiliki akses baca/tulis ke kode, masalah, PR, diskusi, dan file alur kerja, yang berarti satu bypass tunggal dapat menyebarkan kode berbahaya ke semua repositori hilir. Dengan perusahaan yang dengan cepat mengadopsi agen pengkodean AI dalam CI/CD, pola ini (agen istimewa + injeksi prompt tidak langsung melalui saluran masukan yang tidak tepercaya) kini merupakan kelas serangan yang dikonfirmasi dan dieksploitasi di alam liar.
Tindakan yang diperlukan
Setiap tim yang menggunakan Claude Code GitHub Actions harus segera meningkatkan ke v1.0.94 atau yang lebih baru; meninjau pengaturan allowed_non_write_users dan mengaudit aktor GitHub App yang tidak terduga dalam izin CI/CD; memperlakukan izin agen AI dalam saluran pipa CI/CD sebagai setara dalam sensitivitas terhadap rahasia dan menerapkan pola akses istimewa paling sedikit dengan catatan audit yang sama.