A falha que transformava uma issue em vetor de ataque

O Claude Code GitHub Action é uma integração usada em fluxos do GitHub Actions para executar tarefas com apoio do Claude. A falha afetava repositórios públicos vulneráveis e permitia que um invasor acionasse a action a partir de uma issue maliciosa — um vetor especialmente perigoso porque, em muitos projetos, qualquer pessoa externa pode abrir uma issue sem restrições.

O ponto central estava na verificação de permissões. A action tratava como confiáveis atores cujos nomes terminavam em "[bot]". Com essa brecha, um GitHub App controlado por um atacante conseguia inserir conteúdo malicioso que seria processado pelo agente de IA como se viesse de uma origem legítima.

Prompt injection indireto: como o Claude era manipulado

O ataque usava prompt injection indireto. O invasor embutia instruções manipuladas dentro do conteúdo da issue e, quando o Claude lia aquele texto durante a execução, podia ser induzido a agir fora do comportamento esperado — sem que o fluxo legítimo do projeto sinalizasse qualquer anomalia.

O encadeamento era direto: o atacante criava a issue maliciosa, a action era acionada no repositório vulnerável e o Claude era levado a executar comandos e expor variáveis de ambiente. Entre essas variáveis podiam existir credenciais usadas para obter tokens com acesso de escrita ao repositório — o que equivale ao controle do código-fonte.

O que revisar em repositórios que usam essa action

Equipes que usam o Claude Code GitHub Action devem auditar eventos recentes e configurações com atenção redobrada. Os pontos que merecem análise incluem:

• Issues abertas por atores desconhecidos ou por apps com nomes terminados em "[bot]".
• Execuções inesperadas do GitHub Actions disparadas após abertura ou edição de uma issue.
• Logs com comandos fora do escopo normal do projeto.
• Variáveis de ambiente expostas em saídas, comentários ou artefatos de execução.
• Tokens com permissão de escrita ativos em workflows que processam conteúdo enviado por terceiros.

Atualização e redução de superfície de ataque

A Anthropic publicou a correção na versão claude-code-action v1.0.94. A primeira medida é verificar quais repositórios usam essa action e garantir que estejam na versão corrigida ou superior.

Além da atualização, reduzir permissões é indispensável. Workflows que leem conteúdo de issues devem operar com o menor acesso possível — especialmente quando há tokens com permissão de escrita envolvidos. Separe ações que apenas consomem conteúdo das que podem alterar o repositório, e revise segredos, credenciais e variáveis de ambiente disponíveis para automações com IA.

Checklist pratico

1. Localize todos os repositórios que usam Claude Code GitHub Action e confirme a versão claude-code-action v1.0.94 ou superior.
2. Revise permissões de tokens e remova acesso de escrita quando o workflow não precisar alterar o repositório.
3. Verifique issues recentes, execuções do GitHub Actions e logs em busca de comandos inesperados ou exposição de variáveis.

Perguntas frequentes

Quem pode ser afetado por essa falha?

Repositórios públicos vulneráveis que usavam o Claude Code GitHub Action antes da correção e permitiam que issues acionassem o fluxo da action.

A falha já foi corrigida?

Sim. A Anthropic corrigiu o problema na versão claude-code-action v1.0.94.

Por que agentes de IA em CI/CD exigem cuidado extra?

Porque eles podem ler conteúdo externo, tomar decisões e executar comandos dentro do pipeline. Quando operam com permissões amplas, uma instrução maliciosa inserida por um terceiro pode virar uma ação real no ambiente de desenvolvimento — sem que nenhum humano aprove a etapa.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes: