一个 GitHub Issue 能让 Anthropic 自家仓库全军覆没:Claude Code 供应链漏洞全解析
安全研究员 RyotaK 披露:Claude Code GitHub Actions 存在严重供应链漏洞,攻击者通过提示注入绕过权限检查,外泄 OIDC 令牌后可接管任意目标仓库,甚至 Anthropic 官方 Action 仓库本身——这一利用方式已有在野利用记录,且同日美国国会正式启动 AI 工具链安全听证审查。
2026 年 6 月 1 日,安全研究员 RyotaK(GMO Flatt Security)发布了一份让业界沉默片刻的漏洞报告——只需提交一个恶意 GitHub Issue,攻击者就能通过 Anthropic 官方 CI/CD 工作流夺取任意目标仓库的完整写入权限,包括 Anthropic 自身的
claude-code-action 仓库,进而向所有下游用户推送恶意代码。1这不是假设场景。报告指出,同类型的利用方式在文章发布前已有在野利用记录——Cline 的 GitHub Actions 于 2026 年 2 月 17 日已经被类似手法实际攻击过。2
本期核心漏洞的攻击目标——Anthropic 官方 Claude Code GitHub Actions 仓库:
콘텐츠 카드를 불러오는 중…
漏洞的核心逻辑:GitHub App 被当作「可信用户」
Claude Code GitHub Actions 提供了一套把 Claude 集成进 CI/CD 流水线的工作流,让 Claude 自动完成代码审查、Issue 分类、代码生成等任务。为了防止外部攻击者滥用,工作流有一个权限检查函数
checkWritePermissions——只有对仓库拥有 write 或 admin 权限的用户,才允许触发。但这里有一条致命的逻辑漏洞:所有 GitHub App(机器人账户)都被无条件放行,无论该 App 对目标仓库有多少实际权限。
原因在于 GitHub 的一个平台特性:任何 GitHub App,即使没有安装在目标仓库,也可以用自己的 Installation Token 向任意公开仓库提交 Issue 或 PR(这是 GitHub 给 App 的隐式公共读取权限的副作用)。攻击者只需:
- 创建一个任意权限的 GitHub App,安装在自己的仓库上;
- 用该 App 的 Installation Token 向目标仓库提交一个精心构造的恶意 Issue;
- Claude Code 的
agent模式识别到机器人触发器,判定「GitHub App = 可信」,立即处理 Issue 内容; - Issue 正文里的提示注入 payload 诱导 Claude 读取
/proc/self/environ,把环境变量(含敏感凭证)写回 Issue 评论——攻击者公开可见。
在那一堆环境变量里,最关键的是两个:
ACTIONS_ID_TOKEN_REQUEST_TOKEN 和 ACTIONS_ID_TOKEN_REQUEST_URL。有了这两个值,攻击者可以向 GitHub 请求 OIDC 令牌,再用 OIDC 令牌向 Anthropic 后端换取 Claude GitHub App 的 Installation Token——拿到完整仓库写权限。3供应链最坏情形:Anthropic 的 Action 本身也在攻击范围内
更让人警醒的是攻击的传播路径。
anthropics/claude-code-action 仓库本身也使用了 Claude Code GitHub Actions,且同样存在上述 agent 模式漏洞。这意味着攻击者完成上述步骤后,可以直接向 Anthropic 官方 Action 的源码仓库推送恶意修改,而这份修改会随下一次发版自动传播到所有使用 Claude Code GitHub Actions 的下游项目。一个 Issue,换取一次全局供应链投毒。
研究员整理的完整攻击流程图如下:
在官方配置示例中,还有另一条独立攻击路径:Anthropic 示例配置使用了
allowed_non_write_users: "*"(允许所有人触发工作流),同时保留了 issues: write 权限和 GITHUB_TOKEN 访问。研究员发现,即便在这种「受限场景」下,攻击者也可以通过诱导 Claude 将敏感值拼入 GitHub Actions 的公开 Summary 来完成外泄——进而链式升级到完整仓库接管。1콘텐츠 카드를 불러오는 중…
修复状态与遗留风险
Anthropic 在收到报告后响应迅速,已在 Claude Code GitHub Actions v1.0.94 修复了核心问题:
- 默认禁止 GitHub App 触发
agent模式工作流(补齐了checkHumanActor缺失); - 关闭 Actions Summary 公开写入,堵死该外泄通道;
- 改进
gh命令包装脚本,防止参数被注入用于外泄; - 对子进程屏蔽敏感环境变量,降低
/proc/self/environ外泄路径的威力; - 忽略工作流触发后被编辑的 Issue,防止「竞争窗口」链式攻击。
CVSS v4.0 评分为 7.8,Anthropic 支付了 3,800 美元漏洞赏金及 1,000 美元额外补偿。1
但研究员在报告结尾处留下了一句话,值得细读:「在写这篇文章时,我已向 Anthropic 报告了约 50 个独立漏洞,攻击者可以利用这些漏洞绕过权限体系、在 Claude Code 中执行任意命令。」
这说明当前修复是针对已知路径的补丁,而不是从架构上消除了 AI 工具链在 CI/CD 环境中的明文凭证暴露面。
美国国会同日审查:AI 工具链威胁已进入立法视野
就在漏洞报告发布 3 天后的 2026 年 6 月 4 日,美国众议院国土安全委员会召开了一场专题听证会,主题正是「AI 安全格局:前沿模型、智能体 AI、AI 编程工具如何重塑网络安全与关键基础设施韧性」。4
听证会的核心关切与 Claude Code 漏洞高度重叠:AI 编程工具正在被集成进 CI/CD 流水线,赋予广泛的代码读写权限,但安全模型还没跟上。
会上引用的 Mandiant《2026 年 M 趋势报告》数据显示,已有 28.3% 的已知漏洞在公开披露后 24 小时内被利用——AI 辅助漏洞利用的加速作用被明确归因。多国联合预警(美国 CISA、NSA、英国 NCSC、澳大利亚 ASD 等六国机构)于 2026 年 5 月 1 日就已发布联合指南,专门警告智能体 AI 在关键基础设施场景下的安全风险。4
目前美国国会仍未通过任何专门规范前沿 AI 模型与国家安全基础设施交互的立法。
从补丁思维到架构思维
把这两件事并排看,会发现一个结构性的困境。
Claude Code 漏洞的修复方式,是「封堵现有外泄通道」——屏蔽 Actions Summary、过滤环境变量、禁止 GitHub App 触发。每次研究员绕过,Anthropic 就修一次。研究员自己已数到了 50 个,这场攻防还没有终点。
根本原因在于:AI 工具链中流动的凭证——API Key、OIDC Token、GitHub Token——始终以明文形态存在于运行时内存和环境变量中。只要 Claude 的上下文能被外部输入污染(提示注入),这些凭证就是可外泄的。补丁能提高攻击成本,但无法从架构上消灭泄露面。
这也是国会听证会上 EFF 证人所指出的问题:当政府和企业把 AI 工具大规模嵌入到具有特权的流水线中,AI 的运行时成了一个新的攻击平面,而现有的权限体系和加密边界并非为此而设计。5
密态推理提供了另一条路径:让模型在加密状态下完成推理,明文凭证不在任何可访问的内存空间出现。即使攻击者通过提示注入控制了 Claude 的行为,读取环境变量的命令执行在密态环境里得到的也是密文——无法外泄到有意义的值。荆华密算的密态 AI 推理系统正是从这一架构层面切入,把「凭证泄露面」的存在前提本身消除掉,而不是在明文运行时上反复打补丁。
目前,荆华密算面向 C 端的全链路密态 AI 助手已于 2026 年 6 月 1 日开启内测,首批 200 名用户正在体验「AI 推理过程中明文数据不可见」的全新产品形态。对 AI 工具链安全有深度关注的企业技术团队,可关注其企业级密态推理系统的落地进展。
참고 출처
- 1Poisoning Claude Code: One GitHub Issue to Break the Supply Chain
- 2Claude Code GitHub Action Flaw Let One Malicious Issue Hijack Repositories
- 3Claude Code GitHub Actions Flaw Exposes Repositories to Full Compromise
- 4Congress Confronts AI Threat to Critical Infrastructure
- 5EFF Testifies to Congress on Protecting Americans' Rights from Government AI
이 콘텐츠를 둘러싼 관점이나 맥락을 계속 보강해 보세요.