Sicherheitslücke in Claude Code GitHub Action gefährdet CI/CD-Geheimnisse
claude-code security github anthropic agent-safety
trending_up Trend: claude-code

Sicherheitslücke in Claude Code GitHub Action gefährdet CI/CD-Geheimnisse

calendar_month 9. Juni 2026

Zusammenfassung

Sicherheitsforscher haben eine kritische Sicherheitslücke (CVSS v4.0: 7.8) in Anthropics Claude Code GitHub Action identifiziert. Die Schwachstelle erlaubte es unautorisierten Akteuren, Sicherheitsprüfungen zu umgehen und über indirekte Prompt-Injection-Angriffe sensible Umgebungsvariablen wie den ANTHROPIC_API_KEY sowie OIDC-Token auszulesen. Anthropic hat die Probleme in den Versionen claude-code-action v1.0.94 und Claude Code v2.1.128 behoben.

Was ist passiert?

Der Sicherheitsforscher RyotaK von GMO Flatt Security und die Bedrohungsanalysten von Microsoft Threat Intelligence entdeckten zwei verknüpfbare Schwachstellen in der Claude Code GitHub Action:

  1. Umgehung der Autorisierung (Authorization Bypass): Die Funktion checkWritePermissions sollte sicherstellen, dass nur autorisierte Benutzer den AI-Agenten triggern können. Aufgrund eines Logikfehlers vertraute die Funktion jedoch jedem GitHub-Akteur bedingungslos, dessen Name auf [bot] endete. Angreifer konnten so eine bösartige GitHub-App erstellen, sie in einem eigenen Repository installieren und damit Issues oder Pull Requests im Ziel-Repository erstellen. Da der Akteur als Bot erkannt wurde, umging das Skript die Sicherheitsprüfung.
  2. Pfad-Exponierung über das Lesetool: Microsoft Threat Intelligence stellte fest, dass das Lesewerkzeug (Read-Tool) von Claude Code nicht ausreichend abgesichert war. Es erlaubte dem Agenten den Zugriff auf Systempfade wie /proc/self/environ.

Kombiniert führten diese Schwachstellen dazu, dass ein Angreifer über ein manipuliertes GitHub-Issue eine indirekte Prompt-Injection einschleusen konnte. Der AI-Agent las daraufhin die Umgebungsvariablen aus und übermittelte sie an den Angreifer, was zur Offenlegung von CI/CD-Geheimnissen führte.

Warum es wichtig ist

Die Integration von autonomen AI-Agenten in Software-Entwicklungspipelines (CI/CD) birgt neuartige Sicherheitsrisiken. Da Agenten oft weitreichende Lese- und Schreibrechte besitzen und externe, unbereinigte Eingaben (wie Issue-Beschreibungen oder Kommentare) verarbeiten, werden sie zum primären Ziel für indirekte Prompt-Injections. Ein einziger unbefugter Zugriff kann die gesamte Software-Lieferkette (Supply Chain) kompromittieren, wenn Deploy-Token oder API-Schlüssel entwendet werden.

Beweise

  • Schwachstellen-Details: Die Autorisierungsschwachstelle wurde durch ein Update der Validierungslogik in checkWritePermissions behoben.
  • Kombinationsangriff: Der Angriff wurde als funktionierender Proof of Concept (PoC) demonstriert, bei dem ein Bot-Akteur ein Issue erstellte, das Claude dazu brachte, /proc/self/environ auszulesen und den API-Key per HTTP-Request oder Konsolenausgabe zu leaken.
  • Offizielle Bestätigung: Anthropic veröffentlichte Patches für die Claude Code GitHub Action (v1.0.94) und härtete das Read-Tool in Claude Code (v2.1.128) ab, um den Zugriff auf sensible Systemdateien zu blockieren.

Analyse

Dieser Vorfall verdeutlicht das Prinzip der “Privilegieneskalation durch Vertrauen”. AI-Agenten agieren oft als Vermittler mit hohen Systemrechten. Wenn die Authentifizierungsschicht des Agenten fehlerhaft implementiert ist – beispielsweise durch das pauschale Vertrauen in Bot-Schnittstellen – kollabiert das gesamte Sicherheitsmodell. Zudem zeigt sich, dass traditionelle Applikations-Sandboxing-Methoden zwingend auf AI-Tools übertragen werden müssen: Einem Agenten darf niemals unkontrollierter Zugriff auf das Host-Dateisystem oder Laufzeit-Umgebungsvariablen gewährt werden.

Praktische Erkenntnisse

Für Entwickler und Administratoren ergeben sich folgende dringende Maßnahmen:

  1. Sofortiges Update: Aktualisieren Sie die Claude Code GitHub Action auf Version v1.0.94 oder höher sowie die Claude-Laufzeit auf Version v2.1.128 oder höher.
  2. Prinzip der minimalen Rechte: Gewähren Sie CI/CD-Workflows, die AI-Agenten ausführen, nur minimale Berechtigungen (z. B. contents: read statt Schreibrechten, sofern nicht zwingend erforderlich).
  3. Eingabevalidierung: Behandeln Sie alle externen Interaktionen (Issues, Kommentare, PRs) als potenziell bösartig. Führen Sie AI-Agenten idealerweise in isolierten, flüchtigen Umgebungen aus, die keinen Zugriff auf produktive Geheimnisse haben.

Offene Fragen

  • Wie viele Repositories waren vor der Veröffentlichung der Patches potenziell betroffen oder wurden tatsächlich kompromittiert?
  • Welche standardisierten Mechanismen können in Zukunft verhindern, dass AI-Agenten durch subtile Prompt-Injections Systemwerkzeuge gegen die eigene Infrastruktur einsetzen?

Quellen

  1. The Hacker News: Claude Code GitHub Action Flaw Let One Malicious Issue Hijack Repositories
  2. Microsoft Security Blog: Securing CI/CD in an agentic world: Claude Code Github action case
  3. GMO Flatt Security Research Blog