Claude Code GitHub Action の脆弱性で公開リポジトリが乗っ取り可能に

概要

Anthropic の Claude Code GitHub Action に脆弱性が発見されました。攻撃者は単一の GitHub Issue を開くだけで、このアクションを使用している公開リポジトリを乗っ取ることができました。 【何が起きたか】脆弱性は認可チェック機能にありました。本来は書き込み権限を持つユーザーのみが実行可能でしたが、ユーザー名が「[bot]」で終わるボット名なら認可を通す仕様でした。攻撃者は誰でも GitHub App を登録でき、任意のリポジトリに対して実行可能でした。さらに「間接的なプロンプト・インジェクション」という手法で、エラーメッセージに見せかけた隠れた指示を Claude に実行させ、環境変数（認証情報を含む）を盗むことができました。 【影響範囲】盗まれた OIDC トークンを使い、攻撃者は GitHub Actions が使用する認証トークンを取得でき、対象リポジトリのコード・Issue・ワークフローへの書き込みアクセスが可能になります。Anthropic 自身のリポジトリも同じワークフローを使用していたため、悪意あるコードが本体に組み込まれ、下流のプロジェクトに波及する危険がありました。 【対策】2026年1月に報告され、Anthropic は4日以内に修正。v1.0.94 でさらに強化されました。CVSS v4.0 で 7.8 の高い危険度と評価されています。

元記事（The Hacker News）