Anthropic修補Claude Code Actions權限繞過，降低權杖外洩風險

Claude Code GitHub Actions是Anthropic提供的GitHub Actions工具，讓開發團隊將Claude Code介接到GitHub工作流程，協助檢查程式碼、整理議題（Issue）、標記問題或處理開發任務。

研究人員發現，Claude Code GitHub Actions原本會檢查觸發者是否具有儲存庫寫入權限，但過去在代理模式下，對GitHub App觸發者的檢查不夠嚴格。攻擊者可自行建立GitHub App，並以該App的安裝權杖，在公開儲存庫建立議題或拉取請求，使Claude Code把攻擊者提供的內容當成工作流程的一部分處理。

研究人員示範，攻擊者可透過提示注入，誘導Claude Code讀取GitHub Actions執行環境中的資料，再利用列入允許清單的GitHub操作工具，把敏感資訊寫回攻擊者可讀取的位置。若外洩內容包含可要求OpenID Connect（OIDC）權杖的環境變數，攻擊者在部分設定下，可進一步換取具有儲存庫權限的GitHub App安裝權杖。

在修補前，Anthropic提供的議題分類範例工作流程，允許沒有儲存庫寫入權限的使用者觸發議題分類流程。該設定要是開放過多GitHub權限，或讓AI代理接觸不必要的機密資料，即使原本只是用於自動整理議題，也可能成為資料外洩或權限提升的入口。

Anthropic後續已加入防護，並在Claude Code GitHub Actions v1.0.94修補相關問題，預設不允許GitHub App觸發工作流程，也停用預設工作流程摘要輸出、封鎖部分資料外洩路徑，並調整Claude Code啟動子行程時可取得的環境變數。

相關驗證是研究人員在自有測試儲存庫完成，並未實際入侵Anthropic儲存庫。使用Claude Code GitHub Actions的開發團隊，應檢查工作流程是否允許非寫入權限使用者觸發、是否暴露不必要的機密資料，並確認GitHub權限只涵蓋實際需要的操作。