Дослідник RyotaK з компанії GMO Flatt Security опублікував деталі вразливості в GitHub Action для Claude Code від Anthropic. Проблема дозволяла зловмиснику через один шкідливий запит в репозиторії GitHub перехопити контроль над ним. Вразливість обходила стандартні перевірки дозволів і використовувала промт-інʼєкції для маніпуляції AI-ботом. Це давало можливість красти OIDC-токени та отримувати права на запис у репозиторій. Атака працювала на репозиторіях, які використовували Claude Code для автоматизації розробки. Anthropic виправила основну проблему за чотири дні після першого звіту в січні 2026 року, а навесні додала додаткові захисту. Фінальна версія виправлення вийшла в claude-code-action v1.0.94. Вразливість оцінили в 7.8 бала за шкалою CVSS.

Технічні деталі показують, що зловмисник створював спеціальний запит, який змушував GitHub Action виконувати шкідливі інструкції. Через слабкі перевірки на промпти AI-агент виконував команди, що призводило до витоку токенів. Це дозволило атакувальному отримати доступ до коду та конфігурацій. Інцидент стався на тлі зростання використання AI-інструментів у DevOps-процесах. Anthropic оновила документацію та додала жорсткіші фільтри. На момент публікації не було повідомлень про масову експлуатацію після виправлення. Дослідник опублікував повний технічний звіт з PoC.