何が起きたか
Microsoftの Defender Security Research Team は6月5日、Anthropic の Claude Code GitHub Actions における権限モデルのバイパスの分析を公開しました。これにより、書き込みアクセス権を持たない外部コントリビューターが GitHub App 信頼バイパス(実際の権限に関わらず、すべての GitHub App アクターが無条件に信頼される)を通じてワークフローをトリガーできました。Flatt Security の研究者 RyotaK は6月1日に、悪意のある GitHub issue を使用して信頼できない入力をワークフローに供給でき、それを使用している任意のリポジトリ(Anthropic 自体のリポジトリを含む)にコードインジェクションを行う可能性があることを独立して開示しました。Anthropic は Claude Code GitHub Actions v1.0.94 でこの問題にパッチを適用しました。
なぜ重要か
これは、CI/CD パイプラインに組み込まれた AI コーディングエージェントがパイプライン自体の被害範囲を継承することを実証しています。侵害された Claude Code GitHub Action は、コード、issue、PR、discussions、およびワークフローファイルへの読み取り/書き込みアクセス権を持っていました。つまり、単一のバイパスがすべてのダウンストリームリポジトリに悪意のあるコードを伝播させる可能性がありました。企業が CI/CD で AI コーディングエージェントを急速に採用する中、このパターン(特権エージェント + 信頼できない入力チャネルを介した間接的なプロンプトインジェクション)は現在、確認され、野生で悪用されている攻撃クラスです。
必要な対応
Claude Code GitHub Actions を使用しているチームはすべて v1.0.94 以降に直ちにアップグレードする必要があります。allowed_non_write_users 設定を確認し、CI/CD 権限で予期しない GitHub App アクターを監査します。CI/CD パイプラインの AI エージェント権限をシークレットと同等の機密度として扱い、同じ最小権限で監査ログに記録されたアクセスパターンをデプロイします。