Uma vulnerabilidade no Claude Code GitHub Actions poderia permitir que invasores externos comprometessem repositórios que usam o workflow oficial da Anthropic em pipelines de CI/CD.
A falha foi corrigida na versão 1.0.94 e recebeu pontuação CVSS 7.8.
O problema estava na função checkWritePermissions, criada para restringir a execução do workflow a usuários com permissão de escrita ou administração.
A validação, porém, confiava automaticamente em qualquer ator terminado em [bot], sem checar as permissões reais.
Com isso, um invasor poderia criar um GitHub App malicioso, instalá-lo em um repositório próprio e usar seu token para abrir uma issue ou pull request em um repositório-alvo.
Como a ação parecia partir de um bot, o controle de permissão podia ser burlado.
A partir desse ponto, o ataque dependia de prompt injection.
O conteúdo malicioso inserido na issue poderia induzir o Claude Code a executar comandos permitidos e acessar variáveis de ambiente do workflow, incluindo tokens sensíveis usados pelo GitHub Actions.
Entre os dados de maior risco estavam credenciais relacionadas ao OpenID Connect.
Elas poderiam ser usadas para solicitar tokens com permissões elevadas, possibilitando acesso de escrita a conteúdos, issues, pull requests e workflows do repositório.
A Anthropic corrigiu o problema adicionando validações para atores humanos no modo agent, limpando variáveis de ambiente de processos filhos, desativando por padrão resumos de workflow e criando proteções contra abuso do comando gh.
