क्लॉड कोड में खामी से गिटहब पर रिपॉजिटरी अपहरण संभव

गिटहब क्लॉड कोड एक्शन में खोजी गई एक कमजोरी एक इश्यू के अंदर एक दुर्भावनापूर्ण फ़ाइल को पूरे रिपॉजिटरी से समझौता करने की अनुमति देती है। यह खामी संवेदनशील डेटा को उजागर करती है और बिना अधिकार के कोड को संशोधित करने की अनुमति देती है। रिपॉजिटरी तक पहुंच वाला कोई भी योगदानकर्ता इसका शोषण कर सकता है, जो इस AI टूल का उपयोग करने वाली परियोजनाओं के लिए एक गंभीर जोखिम पैदा करता है।

A GitHub repository interface being breached during a code review session, a malicious file disguised as a harmless attachment emerges from a glowing issue ticket, its code lines transforming into metallic chains that wrap around the repository structure, sensitive data streams leaking from exposed folders while unauthorized code injections flash red, the Claude Code AI tool icon shown as a compromised security shield nearby, cinematic cybersecurity visualization, dark mode terminal aesthetic, neon red and blue alert lighting, holographic data fragments floating, ultra-detailed UI elements, photorealistic technical render

क्लॉड कोड में कमजोरी के तकनीकी विवरण 🔍

यह खामी इस बात में निहित है कि क्लॉड कोड इश्यू में संलग्न फ़ाइलों को कैसे संसाधित करता है। एक विशेष रूप से डिज़ाइन की गई फ़ाइल अपलोड करने पर, एक्शन इसे मान्य कमांड के रूप में व्याख्या करता है, रिपॉजिटरी को क्लोन करने, एक्सेस टोकन निकालने और बाहरी सर्वरों पर डेटा अपलोड करने जैसी कार्रवाइयां निष्पादित करता है। इसके लिए उच्च अनुमतियों की आवश्यकता नहीं है; इश्यू पर लिखने की अनुमति होना ही पर्याप्त है। गिटहब ने पहले ही डेवलपर्स को सूचित कर दिया है, लेकिन सभी प्रभावित परियोजनाओं के लिए सुधार तत्काल नहीं है।

वह इश्यू जिसने अपने काम को बहुत गंभीरता से लिया 😅

जाहिर है, क्लॉड कोड एक फ़ाइल को एक गंभीर कार्य योजना समझ लेता है। एक दुर्भावनापूर्ण अटैचमेंट वाला एक साधारण इश्यू और AI डेटा चोर का भण्डारी बन जाता है। विडंबना यह है कि कोड विकसित करने में मदद करने के लिए डिज़ाइन किया गया उपकरण रिपॉजिटरी की चाबियां दे देता है। अब हर इश्यू की जांच करनी होगी जैसे कि वह एक बम पत्र हो, लेकिन कोड संस्करण में।