Anthropic 修補 Claude Code Actions 權限繞過漏洞

AI 模型開發商 Anthropic 修補 Claude Code GitHub Actions 中發現的權限繞過與設定錯誤風險。資安研究人員 GMO Flatt Security 揭露，該問題可能讓攻擊者透過 GitHub 議題或拉取請求（Pull Request）提交惡意內容，誘導 Claude Code 在自動化開發流程中洩漏權杖（token），對使用 Claude Code 進行 CI/CD 自動化的開發團隊構成實質威脅。

Claude Code 是 Anthropic 推出的 AI 編程助理產品，深受開發者社群歡迎。其 GitHub Actions 整合功能允許開發者將 Claude 嵌入自動化工作流程中，例如自動審查 PR、回覆議題、產出測試代碼等。然而這類自動化流程往往需要 Claude 存取 GitHub repo、雲端服務、敏感金鑰等高權限資源，一旦設計上存在漏洞，可能被攻擊者利用作為入侵企業內部系統的跳板。

具體攻擊情境為：攻擊者於公開 repo 提交一個看似正常的 issue 或 PR，但內容中嵌入「prompt injection」（提示詞注入）指令。當 Claude Code Action 觸發處理該 issue/PR 時，會讀取這些惡意指令並按其執行，可能洩漏儲存於 GitHub Secrets 中的 API token、雲端憑證、SSH 金鑰等敏感資料。一旦這些憑證被竊取，攻擊者即可進入受害企業的雲端基礎設施、發動更深層的滲透攻擊。

從產業面看，這起漏洞凸顯「AI 代理 + 高權限自動化」結合的根本性資安挑戰。傳統 CI/CD 系統的權限模型假設執行者是可預測的程式碼，但 AI 代理會根據輸入動態決策，使權限邊界難以靜態定義。隨著越來越多企業導入 AI 代理進入工作流程，類似的「提示詞注入導致的權限提升」漏洞預期將持續出現。

對 Anthropic 與其他 AI 業者而言，這項漏洞修補是改善 AI 代理安全的重要里程碑。能否建立強健的「沙箱化執行」、「最小權限原則」、「輸入內容驗證」等防護機制，將是 AI 代理能否安全擴張至企業關鍵流程的核心條件。對使用 Claude Code GitHub Actions 的開發團隊，應立即檢視自家工作流程是否已更新至修補版本。