Одна строчка в баг-трекере — и CI/CD-пайплайн открыт. Именно к такому сценарию привела уязвимость в Claude Code GitHub Action, которую команда безопасности Microsoft раскрыла 5 июня 2026 года. Плагин позволяет AI-агенту Anthropic работать прямо внутри репозитория: автоматически проверять пул-реквесты, закрывать задачи, генерировать и коммитить код. В корпоративных командах он часто имеет доступ к секретам рабочей среды — и это сделало его мишенью.
Атака строилась на промт-инъекции. Злоумышленнику достаточно спрятать вредоносные инструкции в текст GitHub-задачи, комментария к PR или любого другого контента, который читает Claude Code. Агент воспринимал чужие команды как свои и выполнял их. Конкретный вектор: файл /proc/self/environ, где хранятся переменные окружения CI/CD-рабочего процесса — ANTHROPIC_API_KEY, токены облачных сервисов, пароли к базам данных. Исследователи Microsoft показали, как скрыть пейлоад за ответом с подконтрольного домена и обойти встроенные защиты агента.
Технически уязвимость возникла из-за несоответствия в изоляции. Bash-инструмент Claude Code исполнялся в изолированной среде — подпроцессы не имели доступа к секретам хоста. Но Read-инструмент, с помощью которого агент читает файлы, работал вне этой «песочницы». Именно этот зазор стал вектором атаки: через Read агент мог дотянуться до переменных с паролями и токенами без каких-либо ограничений.
Anthropic отреагировал быстро: Microsoft раскрыл уязвимость через HackerOne 29 апреля, и уже 5 мая вышла версия Claude Code 2.1.128 с патчем. Детальный технический разбор с демонстрацией атаки появился в блоге Microsoft Security 5 июня. Разработчики, использующие GitHub Action Anthropic в своих пайплайнах, должны обновиться до актуальной версии и ограничить права токена принципом минимальных привилегий.
История важна не только сама по себе. AI-агенты типа Claude Code встраиваются в CI/CD-процессы и регулярно читают пользовательский ввод — задачи, PR, комментарии. При этом эти же среды хранят production-секреты. Случай с Claude Code поставил неудобный вопрос в полный рост: любой внешний текст, который обрабатывает AI-агент с доступом к ключам, надо считать потенциально враждебным — точно так же, как веб-разработчики обращаются с данными форм, попадающими в базу данных.
