An ninh mạng

Lỗ hổng trong Claude Code GitHub Action: Nguy cơ chiếm quyền kiểm soát kho lưu trữ từ một Issue đơn lẻ

Một lỗ hổng bảo mật nghiêm trọng trong Claude Code GitHub Action cho phép kẻ tấn công chiếm quyền kiểm soát các repository công khai thông qua kỹ thuật prompt injection và bypass cơ chế xác...

Nguyen Hung
5 Tháng 6, 2026 2 Min Read
2 0

Một nhà nghiên cứu bảo mật đã phát hiện lỗ hổng nghiêm trọng trong Claude Code GitHub Action của Anthropic. Lỗ hổng này cho phép kẻ tấn công chiếm quyền kiểm soát các repository công khai chỉ bằng cách tạo một GitHub issue duy nhất. Đáng chú ý, vì chính repository của Anthropic cũng sử dụng workflow này, một cuộc tấn công thành công có thể dẫn đến việc chèn mã độc trực tiếp vào action, từ đó lây lan sang hàng loạt dự án khác sử dụng nó.

Table Of Content

Chi tiết về lỗ hổng

RyotaK từ GMO Flatt Security đã báo cáo lỗ hổng này cho Anthropic vào tháng 1. Anthropic đã khắc phục trong vòng 4 ngày và tiếp tục tăng cường bảo mật trong suốt mùa xuân. Các bản vá hiện đã có trong phiên bản claude-code-action v1.0.94 (được đánh giá 7.8 điểm theo thang CVSS v4.0).

Vấn đề nằm ở cơ chế kiểm tra quyền truy cập của action. Theo thiết kế, Claude Code cần quyền đọc/ghi vào code, issue và workflow. Do đó, nó chỉ nên được kích hoạt bởi người dùng có quyền ghi (write access). Tuy nhiên, bộ lọc của action lại mặc định tin tưởng bất kỳ actor nào có tên kết thúc bằng [bot]. Kẻ tấn công có thể lợi dụng điều này bằng cách đăng ký một GitHub App, cài đặt vào repository riêng và sử dụng token của nó để mở issue trên bất kỳ repository công khai nào mà action đang giám sát.

Kỹ thuật tấn công: Indirect Prompt Injection

Sau khi bypass được bước kiểm tra quyền, kẻ tấn công sử dụng kỹ thuật indirect prompt injection. Bằng cách chèn các chỉ dẫn độc hại vào nội dung issue, kẻ tấn công đánh lừa mô hình AI thực thi các lệnh thay vì nhiệm vụ triage thông thường. Mục tiêu chính là đọc các biến môi trường (như /proc/self/environ) để lấy cắp credential dùng cho token OIDC của GitHub Actions.

Khi có được các thông tin xác thực này, kẻ tấn công có thể đổi lấy token cài đặt GitHub App của Claude với quyền ghi đầy đủ, từ đó kiểm soát toàn bộ repository mục tiêu, bao gồm cả việc sửa đổi code và workflow.

Khuyến nghị bảo mật

Để đảm bảo an toàn, người dùng cần thực hiện các bước sau:

  • Cập nhật lên claude-code-action v1.0.94 hoặc mới hơn.
  • Rà soát lại các workflow cho phép người dùng không có quyền ghi hoặc bot kích hoạt Claude.
  • Hạn chế tối đa các quyền và công cụ mà AI có thể truy cập; không cung cấp các secret nhạy cảm ngoài API key của Anthropic và GITHUB_TOKEN.
  • Tránh sử dụng cấu hình allowed_non_write_users: "*" vì đây là rủi ro bảo mật tiềm ẩn.

Sự việc này một lần nữa gióng lên hồi chuông cảnh báo về rủi ro của các AI agent khi được cấp quyền thực thi rộng rãi trong môi trường CI/CD, nơi mà các lỗ hổng prompt injection vẫn chưa có giải pháp triệt để.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept