Bastava aprire una singola issue su GitHub per prendere il controllo di qualunque repository pubblico che usasse la GitHub Action di Claude Code. � l'integrazione con cui Anthropic inserisce il suo agente nelle pipeline CI/CD, per smistare le segnalazioni, applicare etichette e revisionare le pull request. Lo ha mostrato RyotaK, ricercatore di GMO Flatt Security, in un'analisi pubblicata nei giorni scorsi. Il punto critico � che lo stesso workflow girava anche nel repository ufficiale dell'azione: un attacco riuscito avrebbe potuto iniettare codice nell'azione stessa e propagarlo a valle, su ogni progetto che la incorpora. Per impostazione predefinita il workflow riceve accesso in lettura e scrittura a codice, issue, pull request, discussioni e file di workflow del repository. Il che si traduce in permessi ampi, ed � proprio per questo che l'azione dovrebbe lasciar passare solo chi dispone di accesso in scrittura. Il controllo, per�, aveva una falla. Un bot che nessuno ha installato La funzione che verifica i permessi accettava senza condizioni qualunque attore il cui nome terminasse in [bot], sul presupposto che le GitHub App siano strumenti fidati installati dagli amministratori. Presupposto evidentemente fallace, poich� chiunque pu� registrare una GitHub App, installarla su un repository di sua propriet� e usarne il token per aprire una issue su qualsiasi repository pubblico, anche dove l'app non � installata. L'azione vedeva un bot e lasciava passare il contenuto. La modalit� tag prevedeva un controllo aggiuntivo per confermare che l'attore fosse umano; la modalit� agent ne era priva, e restava scoperta. Claude Codeに対してサプライチェーン攻撃を行うことが可能だった脆弱性についての記事を公開しました! https://t.co/ClcIk5n3Pk— RyotaK (@ryotkak) June 1, 2026 Superati gli argini, entra in gioco la prompt injection indiretta, la tecnica che annida istruzioni dentro contenuti che il modello legge come dati e finisce per eseguire come comandi. RyotaK ha confezionato il corpo di una issue perch� somigliasse a un messaggio di errore: Claude, ritenuta fallita la lettura, prova a rimediare eseguendo i comandi nascosti nel testo. Il bersaglio � /proc/self/environ, lo pseudo-file Linux che espone le variabili d'ambiente del processo, segreti inclusi. Claude Code blocca le letture dirette di quel file, ma la protezione viene aggirata e i valori finiscono riscritti nella issue, dove l'attaccante li pu� raccogliere. Tra quelle variabili le pi� preziose sono le credenziali con cui GitHub Actions richiede un token OIDC, la prova firmata che attesta quale workflow gira in quale repository. Claude Code scambia quel token con il backend di Anthropic per ottenere un token di installazione della GitHub App con accesso in scrittura. Chi sottrae le credenziali pu� rigiocare lo scambio e ritrovarsi con accesso in scrittura a codice, issue e workflow del bersaglio. Puntato contro il repository dell'azione, lo stesso meccanismo avrebbe avvelenato la dipendenza che migliaia di progetti scaricano a valle. La scorciatoia della configurazione di esempio RyotaK ha segnalato anche una via pi� semplice, che salta del tutto il trucco del bot. Il workflow di triage delle issue distribuito da Anthropic come esempio veniva fornito con l'impostazione allowed_non_write_users: "*", che consente a chiunque di attivarlo: un'opzione che la stessa documentazione di Anthropic segnala come rischiosa. A peggiorare il quadro, Claude pubblicava il riepilogo delle attivit� completate nel pannello pubblico dell'esecuzione del workflow, un canale di esfiltrazione gi� pronto. Molti repository hanno copiato quell'esempio ereditandone il difetto. Le due configurazioni potevano poi essere concatenate. Con il permesso di scrittura sulle issue ottenuto dal workflow di triage, un attaccante pu� modificare la segnalazione di un utente fidato dopo che questa ha attivato il workflow ma prima che Claude la legga, facendo entrare il payload come input considerato attendibile e arrivando alla compromissione completa. Varianti di queste configurazioni errate, osserva RyotaK, erano gi� state sfruttate prima della pubblicazione. A febbraio una issue con titolo manipolato contro il workflow di triage di Cline ha permesso di sottrarre un token di pubblicazione npm e caricare una versione non autorizzata, [email protected], ritirata dopo circa otto ore ma che � riuscita a forzare l'installazione di un secondo agente, OpenClaw, su circa 4.000 sistemi. Nelle stesse settimane il bot autonomo HackerBot-Claw ha sondato configurazioni deboli di GitHub Actions presso Microsoft, Datadog e progetti CNCF, salvo incassare un rifiuto quando ha tentato di iniettare istruzioni in un revisore basato su Claude. Anthropic ha corretto il bypass entro quattro giorni dalla segnalazione di gennaio, con ulteriori irrobustimenti fino alla primavera: le correzioni sono in claude-code-action v1.0.94, l'azienda ha valutato le falle 7.8 secondo CVSS v4.0 e riconosciuto una ricompensa di 4.800 dollari. Nelle fonti disponibili non risulta un CVE assegnato. A chi usa l'azione restano l'aggiornamento e l'audit dei workflow che lasciano agire utenti senza accesso in scrittura o bot, rimuovendo permessi e segreti che abilitano l'esfiltrazione. RyotaK riferisce di aver segnalato finora una cinquantina di modi per aggirare il sistema di permessi di Claude Code: la prompt injection non � un problema risolto, e un agente con strumenti e token reali pu� essere spinto fin dove arrivano i suoi permessi.