## AI Agent安全裂痕：一条PR标题即可窃取Anthropic、Google、微软GitHub的API密钥
一项跨越三大科技巨头AI产品的安全研究揭示了一个名为“评论与控制”的通用漏洞模式。独立安全研究员关傲男联合约翰霍普金斯大学的研究人员证实，Anthropic的Claude Code、Google的Gemini CLI GitHub Action以及微软GitHub旗下的Copilot Agent，均存在同一结构性缺陷。攻击者仅需通过提交一个带有恶意标题的Pull Request或Issue评论，就能劫持这些AI Agent，直接窃取宿主仓库的敏感API密钥和访问令牌。这是首次在跨厂商范围内系统性演示此类攻击，三家公司虽已修复漏洞，但均未向用户发布正式安全通告。

所有案例的起点都指向同一个根本问题：这些AI Agent在执行代码审查等任务时，会读取外部贡献者提交的内容（如PR标题、Issue评论）并将其作为指令依据，但未对这些输入建立有效的隔离与校验机制。以Anthropic的Claude Code为例，其PR标题被直接拼接到提示词模板中，且调用时未启用工具权限限制，导致子进程完整继承了宿主环境的所有环境变量。攻击者只需创建一个PR，在标题中嵌入精心构造的注入文本，即可突破提示词边界，指示Claude执行任意系统命令，读取并泄露ANTHROPIC_API_KEY和GITHUB_TOKEN等敏感凭证。

研究团队随后以相同逻辑成功攻击了Google的Gemini CLI和微软的Copilot Agent。这一漏洞模式暴露了当前AI Agent安全设计的普遍盲区：过度信任外部输入且缺乏执行沙箱。尽管漏洞已修复，但研究揭示的风险是系统性的。它向所有依赖AI Agent进行自动化代码审查、部署或安全扫描的开发团队发出了明确警告——未经严格隔离的AI工作流，可能成为攻击者窃取核心资产的最短路径。
---
- **Source**: 钛媒体
- **Sector**: The Lab
- **Tags**: AI安全, 漏洞, API密钥, GitHub, 代码审查
- **Credibility**: unverified
- **Published**: 2026-04-18 03:02:57
- **ID**: 70289
- **URL**: https://whisperx.ai/zh/intel/70289