무슨 일이 있었나
Microsoft의 Defender 보안 연구팀은 6월 5일 Anthropic의 Claude Code GitHub Actions의 권한 모델 우회에 대한 분석을 발표했습니다. 이 우회는 쓰기 액세스가 없는 외부 기여자가 GitHub App 신뢰 우회를 통해 워크플로우를 트리거할 수 있게 했습니다(모든 GitHub App 액터가 실제 권한과 관계없이 무조건 신뢰됨). Flatt Security 연구원 RyotaK는 6월 1일에 악성 GitHub 이슈를 사용하여 워크플로우에 신뢰할 수 없는 입력을 제공할 수 있으며, 잠재적으로 이를 사용하는 모든 리포지토리(Anthropic 자체 리포지토리 포함)에 코드를 주입할 수 있음을 독립적으로 공개했습니다. Anthropic은 Claude Code GitHub Actions v1.0.94에서 이 문제를 패치했습니다.
왜 중요한가
이는 CI/CD 파이프라인에 포함된 AI 코딩 에이전트가 파이프라인 자체의 폭발 반경을 상속한다는 것을 보여줍니다 — 손상된 Claude Code GitHub Action은 코드, 이슈, PR, 토론 및 워크플로우 파일에 대한 읽기/쓰기 액세스 권한을 가지고 있었으므로, 단 하나의 우회로도 악성 코드가 모든 다운스트림 리포지토리로 전파될 수 있었습니다. 엔터프라이즈가 CI/CD에서 AI 코딩 에이전트를 빠르게 도입하고 있는 가운데, 이 패턴(권한이 있는 에이전트 + 신뢰할 수 없는 입력 채널을 통한 간접 프롬프트 주입)은 이제 확인되고 실제로 악용된 공격 클래스입니다.
필요한 조치
Claude Code GitHub Actions를 사용하는 모든 팀은 즉시 v1.0.94 이상으로 업그레이드해야 합니다. allowed_non_write_users 설정을 검토하고 CI/CD 권한에서 예기치 않은 GitHub App 액터를 감사하세요. CI/CD 파이프라인의 AI 에이전트 권한을 시크릿과 동등한 민감도로 취급하고 동일한 최소 권한 및 감사 로그 액세스 패턴을 배포하세요.