Claude Code, Gemini CLI und GitHub Copilot anfällig für Prompt Injection über GitHub-Kommentare

Eine kritische, über mehrere Anbieter hinweg bestehende Schwachstellengruppe mit dem Namen „Comment and Control“ ist eine neue Kategorie von Prompt-Injection-Angriffen, die GitHub-Pull-Request-Titel, Issue-Inhalte und Is Eine kritische, über mehrere Anbieter hinweg bestehende Schwachstellengruppe mit dem Namen „Comment and Control“ ist eine neue Kategorie von Prompt-Injection-Angriffen, die GitHub-Pull-Request-Titel, Issue-Inhalte und Issue-Kommentare waffenisiert, um KI-Codierungsagenten zu übernehmen und API-Schlüssel sowie Zugriffstoken direkt aus CI/CD-Umgebungen zu stehlen.

Der Angriff wird bewusst als Wortspiel auf das klassische Command and Control (C2)-Framework bezeichnet, das bei Malware-Kampagnen verwendet wird. Drei weit verbreitete KI-Agenten, Anthropic’s Claude Code Security Review, Googles Gemini CLI Action und GitHub Copilot Agent (SWE Agent), wurden anfällig befunden.

Laut dem Forscher Aonan Guan läuft der gesamte Angriffskreislauf innerhalb von GitHub selbst ab: Ein Angreifer schreibt einen bösartigen PR-Titel oder Issue-Kommentar, der KI-Agent liest und verarbeitet ihn als vertrauenswürdigen Kontext, führt die vom Angreifer bereitgestellten Anweisungen aus und exfiltriert die Anmeldeinformationen über einen PR-Kommentar, Issue-Kommentar oder Git-Commit zurück, ohne dass ein externes Server erforderlich ist.

Im Gegensatz zum klassischen indirekten Prompt

Im Gegensatz zum klassischen indirekten Prompt Injection, das reaktiv ist und verlangt, dass ein Opfer die KI ausdrücklich auffordert, ein Dokument zu verarbeiten, ist Comment and Control proaktiv: GitHub Actions Workflows werden bei pull_request-, issue- und issue_comment-Ereignissen automatisch ausgelöst, was bedeutet, dass das bloße Öffnen eines PR oder das Erstellen eines Issues den Agenten ohne jegliche Interaktion eines Opfers aktivieren kann.

Finding 1: Claude Code Security Review — PR Title zu RCE In Anthropic’s Claude Code Security Review Action wird der PR-Titel direkt in den Prompt des Agenten interpoliert, ohne jegliche Bereinigung.

Da die Claude CLI ohne Einschränkungen wie --disallowed-tools oder --allowed-tools aufgerufen wird, erbt der Subprozess alle Umgebungsvariablen, einschließlich ANTHROPIC_API_KEY und GITHUB_TOKEN.

Ein Angreifer öffnet einfach einen PR

Ein Angreifer öffnet einfach einen PR mit einem bösartigen Titel, der aus dem Prompt-Kontext ausbricht und Claude anweist, whoami, ps auxeww oder env auszuführen – und gibt den vollständigen Dump der Anmeldeinformationen als JSON „Sicherheitsfinding“ in den PR-Kommentar.

Mit einem RatedCVSS von 9.4 (aufgestockt von 9.3) von Anthropic, wurde der Bug über HackerOne (#3387969) gemeldet und mit einer Belohnung von $100 versehen.