Pesquisadores de segurança identificaram uma vulnerabilidade crítica no Claude Code GitHub Action, da Anthropic, que permitia o comprometimento de repositórios públicos a partir da simples criação de uma única issue maliciosa. A falha combinava problemas de validação de permissões, técnicas de prompt injection e exposição de credenciais sensíveis em workflows automatizados.
A descoberta foi realizada pelo pesquisador RyotaK, da GMO Flatt Security. Segundo a análise, o mecanismo responsável por verificar permissões aceitava determinadas contas automatizadas como confiáveis sem validar adequadamente seus privilégios reais. Isso permitia que um invasor utilizasse um GitHub App malicioso para abrir uma issue em um repositório vulnerável e acionar automaticamente fluxos de trabalho do Claude Code.
Após a execução do workflow, o atacante podia explorar técnicas de prompt injection para induzir a ferramenta a acessar variáveis de ambiente armazenadas no GitHub Actions. Entre os dados expostos estavam credenciais OIDC utilizadas para autenticação, que poderiam ser convertidas em tokens com permissões elevadas de escrita dentro do repositório afetado.
O impacto potencial era significativo. Com acesso de escrita, criminosos poderiam modificar código-fonte, alterar workflows, criar pull requests maliciosos e até comprometer cadeias de suprimentos de software. Pesquisadores alertaram que, em determinados cenários, o ataque poderia atingir inclusive repositórios utilizados para distribuir componentes amplamente adotados por desenvolvedores.
A Anthropic corrigiu a vulnerabilidade na versão 1.0.94 do Claude Code Action. Entre as medidas implementadas estão o fortalecimento da validação de permissões, restrições adicionais para gatilhos automatizados, bloqueio de vetores de exfiltração de dados e mudanças na forma como issues e workflows são processados. A empresa também classificou o problema com severidade elevada e reforçou orientações de segurança para usuários da ferramenta.
Especialistas recomendam que equipes de desenvolvimento revisem imediatamente seus workflows de GitHub Actions, limitem permissões concedidas a automações, auditem segredos armazenados em pipelines CI/CD e mantenham componentes atualizados. O caso reforça a crescente preocupação com a segurança de ferramentas baseadas em inteligência artificial integradas ao ciclo de desenvolvimento de software.
