VMTech
+381 11 4150 20024/7 Обсудить проект
← Все Instagram-инсайты VMTECH · INSTAGRAM

Claude Code: одно issue могло захватить репозитории

Claude Code: одно issue могло захватить репозитории

Коллеги, хочу обратить внимание: в сфере кибербезопасности выявлена уязвимость в GitHub Action Claude Code — через одно issue можно было получить контроль над публичными репозиториями.

- RyotaK показал обход: action доверял акторов с именем, оканчивающимся на [bot]; пример workflow допускал non-write пользователей.
- Через prompt injection атакующие читали /proc/self/environ и похищали OIDC-учётные данные, получая установочный токен с правами записи.
- Anthropic исправила баг за четыре дня; фикс — claude-code-action v1.0.94 (CVSS 7.8).

Почему это важно: возможна подмена action и заражение downstream-проектов.

Рекомендую обновить до v1.0.94+, проверить allowed_non_write_users и права триггеров, убрать публичный вывод.

Есть ли у Вас такие workflows в проектах?
#кибербезопасность #supplychain #GitHubActions #AIsec

Последние комментарии

Комментариев пока нет.