Claude Code, Gemini CLI und GitHub Copilot anfällig für Prompt Injection über GitHub-Kommentare

Laut dem Forscher Aonan Guan läuft der gesamte Angriffskreislauf innerhalb: Ein Angreifer schreibt einen bösartigen PR-Titel oder Issue-Kommentar, der KI-Agent liest und verarbeitet ihn als vertrauenswürdigen Kontext, führt die vom Angreifer bereitgestellten Anweisungen aus und exfiltriert die Anmeldeinformationen über einen PR-Kommentar, Issue-Kommentar oder Git-Commit zurück, ohne dass ein externes Server erforderlich ist.

Im Gegensatz zum klassischen indirekten Prompt Injection, das reaktiv ist und verlangt, dass ein Opfer die KI ausdrücklich auffordert, ein Dokument zu verarbeiten, ist Comment and Control proaktiv: GitHub Actions Workflows werden bei pull_request-, issue- und issue_comment-Ereignissen automatisch ausgelöst, was bedeutet, dass das bloße Öffnen eines PR oder das Erstellen eines Issues den Agenten ohne jegliche Interaktion eines Opfers aktivieren kann.

Finding 1: Claude Code Security Review — PR Title zu RCE In Anthropic’s Claude Code Security Review Action wird der PR-Titel direkt in den Prompt des Agenten interpoliert, ohne jegliche Bereinigung.

Da die Claude CLI ohne Einschränkungen wie --disallowed-tools oder --allowed-tools aufgerufen wird, erbt der Subprozess alle Umgebungsvariablen, einschließlich ANTHROPIC_API_KEY und GITHUB_TOKEN.

Ein Angreifer öffnet einfach einen PR mit einem bösartigen Titel, der aus dem Prompt-Kontext ausbricht und Claude anweist, whoami, ps auxeww oder env auszuführen – und gibt den vollständigen Dump der Anmeldeinformationen als JSON „Sicherheitsfinding“ in den PR-Kommentar.

Mit einem RatedCVSS von 9.4 (aufgestockt von 9.3), wurde der Bug über HackerOne (#3387969) gemeldet und mit einer Belohnung von $100 versehen.