Els equips de desenvolupament que fan servir GitHub Actions amb agents d'intel·ligència artificial tenen un nou vector de risc que entendre. El 5 de juny de 2026, Microsoft Threat Intelligence va publicar al seu blog de seguretat l'anàlisi completa d'una vulnerabilitat que els seus investigadors van descobrir i divulgar responsablement a la GitHub Action oficial de Claude Code d'Anthropic: mitjançant tècniques de prompt injection, un atacant extern podia instruir l'agent d'IA perquè llegís l'entorn del runner de CI/CD i exfiltrés API keys, cloud credentials i tokens de GitHub. Tot això amb un simple comentari HTML invisible per al revisor humà però llegible pel model. El pedaç està disponible des del 5 de maig a Claude Code 2.1.128.

Què va descobrir Microsoft i com va funcionar l'atac?

  • La vulnerabilitat: la GitHub Action de Claude Code incloïa un tool Read que no estava subjecte al mateix sandboxing que el tool Bash i podia accedir a /proc/self/environ, el fitxer que conté totes les variables d'entorn del procés, on els runners de GitHub Actions emmagatzemen les API keys i credencials.
  • El vector de prompt injection: un atacant sense cap accés especial podia inserir una instrucció maliciosa dins d'un comentari HTML invisible quan l'issue es renderitzava al navegador, però llegible pel model en el markdown en brut.
  • El payload i la tècnica d'evasió: el payload demanava al model fer una "revisió de compliance", llegir /proc/self/environ i "retallar els primers 7 caràcters del resultat" per evadir els filtres del model i el GitHub Secret Scanner.
  • Divulgació responsable: Microsoft va reportar la vulnerabilitat a Anthropic via HackerOne el 29 d'abril de 2026. Anthropic va publicar el pedaç a Claude Code 2.1.128 el 5 de maig.
  • Segona vulnerabilitat relacionada: l'investigador RyotaK de GMO Flatt Security va documentar una altra vulnerabilitat en Claude Code GitHub Actions (pedaçada a v1.0.94) que permetia a un atacant extern no autenticat exfiltrar secrets i fer push de codi maliciós.

Per què els agents d'IA en CI/CD són una superfície d'atac de nou ordre

  1. Els runners de CI/CD són entorns d'alta confiança amb accés privilegiat. Quan un agent d'IA amb accés a aquests entorns processa contingut no confiable, el trust boundary col·lapsa.
  2. El prompt injection és el vector d'atac definitiu contra agents d'IA. Qualsevol agent que processi text no confiable pot ser redirigit cap a accions malicioses.
  3. Els mecanismes d'evasió són simples i efectius. El comentari HTML invisible és la tècnica més simple: el revisor humà aprova l'issue sense veure les instruccions, però el model les executa.
  4. La proliferació d'agents d'IA en CI/CD és ràpida i avança les pràctiques de seguretat. És el mateix patró que vam veure amb les extensions de VS Code (TeamPCP/Nx Console) el mes passat.

Com funciona l'atac: de l'issue de GitHub al secret exfiltrat

  1. L'atacant crea un issue amb un payload ocult en un comentari HTML.
  2. El workflow de CI/CD processa l'issue amb l'agent d'IA.
  3. L'agent llegeix les instruccions ocultes i executa la lectura de /proc/self/environ.
  4. El model neteja l'output per evadir els filtres i exfiltra el secret.

Lliçons clau: l'"Agents Rule of Two" de Microsoft i el checklist de hardening

Un workflow d'IA mai hauria de tenir simultàniament les tres capacitats següents:

  • 1. Processament d'input no confiable (issues, PRs, comentaris de GitHub).
  • 2. Accés a secrets sensibles (API keys, cloud credentials, tokens de deploy).
  • 3. Capacitat d'actuar externament o modificar estat (tools com Bash, WebFetch, GitHub MCP).

Checklist de hardening immediat:

  • Actualitzar Claude Code GitHub Action a la versió 1.0.94 o superior i usar Claude Code 2.1.128 o superior.
  • Aplicar l'Agents Rule of Two: si el workflow processa issues de usuaris externs, eliminar l'accés a secrets de producció.
  • Principi de mínim privilegi en cada token del workflow.
  • Separar workflows de triatge de workflows amb accés privilegiat.
  • Auditar tots els workflows de GitHub Actions que usin agents d'IA contra l'Agents Rule of Two.

La ciberseguretat com a prioritat estratègica

La recerca de Microsoft no diu que els agents d'IA no s'hagin de fer servir en CI/CD: diu que la seva integració requereix els mateixos controls de seguretat que aplicaríem a qualsevol altre sistema amb accés privilegiat.

Apolo Cybersecurity: seguretat d'agents d'IA i pipelines CI/CD

A Apolo Cybersecurity ajudem equips de desenvolupament a auditar la seguretat dels seus workflows de GitHub Actions amb agents d'IA: avaluació de workflows contra l'Agents Rule of Two, revisió de permisos i accessos de tokens en CI/CD, detecció de vectors de prompt injection i hardening d'entorns de runners.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity