آلوده کردن Claude Code: یک ایشوی گیتهاب برای شکستن زنجیره تأمین
هوش مصنوعییه پژوهشگر امنیتی آسیبپذیریای توی GitHub Action کلود کد پیدا کرده که اجازه میداد مهاجم کنترل دسترسی workflow رو دور بزنه و ورودی نامعتبر رو به یه فرایند مخصوص ورودی معتمد تزریق کنه. چون این Action دسترسی خواندن و نوشتن روی کد، ایشوها و workflowها داره، این دور زدن میتونست به تزریق کد مخرب یا دزدیدن secretها منجر بشه — و حتی به مخزن خود Anthropic سرایت کنه. Anthropic این باگها رو در نسخهی v1.0.94 وصله کرده.
این محتوا بهصورت خودکار با استفاده از هوش مصنوعی تولید شده است. بررسی نهایی آن پیش از استفاده توصیه میشود و مسئولیت استفاده از آن بهعهده کاربر است. برای مطالعه متن اصلی خبر،اینجا را کلیک کنید
خلاصهٔ کاملتر
پژوهشگر امنیتی RyotaK از GMO Flatt Security توی این مقاله یه آسیبپذیری در GitHub Actions کلود کد رو توضیح میده که میتونست هر مخزنی رو که از این workflow استفاده میکنه به خطر بندازه — از جمله مخازن خود Anthropic. این workflow بهصورت پیشفرض دسترسی خواندن و نوشتن روی کد، ایشوها، pull requestها، discussionها و فایلهای workflow داره، پس دور زدنش خطرناکه.
برای جلوگیری از سوءاستفاده، این Action بهصورت پیشفرض اجازه نمیده کاربرهای بدون دسترسی write، workflow رو فعال کنن؛ این کنترل توی تابع checkWritePermissions پیاده شده. ولی نکتهی ظریف اینه که این تابع هر GitHub App رو بدون توجه به دسترسی واقعیاش، بیقیدوشرط عبور میداد.
خلاصهٔ کاملتر این خبر رو میتونی با داشتن اشتراک ویژه بخونی!
اشتراک رایگان
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
اشتراک ویژه
- دسترسی به خلاصهٔ کوتاه خبر
- دسترسی به خلاصهٔ کامل/اختصاصی خبر + نکات کلیدی
- ارسال اخبار مورد علاقه به ایمیل شما
- ارسال اخبار مورد علاقه به تلگرام شما
- عدم نمایش تبلیغات
