Claude Code-sak viser CI/CD-risikoen med AI-agenter

Microsoft Threat Intelligence har publisert en konkret sårbarhetshistorie som treffer rett inn i den nye hverdagen for utviklingsmiljøer: AI-agenten er ikke lenger bare et skriveverktøy. Den kjører inne i CI/CD-løpet, leser repo-kontekst, tolker GitHub-innhold og kan få tilgang til hemmeligheter på en runner.

Funnet gjelder Anthropic Claude Code GitHub Action. Microsoft skriver at actionen kunne eksponere workflow-hemmeligheter når agenten behandlet upålitelig innhold fra GitHub, som issue-tekster, pull request-beskrivelser og kommentarer. Problemet lå ikke i en dramatisk ny angrepsteknikk. Det lå i kombinasjonen av prompt injection, filtilgang og et CI/CD-miljø med API-nøkler.

Det er akkurat den kombinasjonen norske virksomheter nå må få kontroll på.

Hva Microsoft fant

Claude Code GitHub Action kjører Claude inne i en GitHub Actions-runner. Slike runnere kan ha tilgang til repo, miljøvariabler, GITHUB_TOKEN, skynøkler, publiseringsnøkler og tredjeparts API-nøkler. Når en AI-agent settes inn i dette miljøet, blir prompten en del av sikkerhetsperimeteren.

Microsoft beskriver at Anthropic hadde en beskyttelse for Bash-verktøyet. Kommandoer kunne kjøres i en isolert subprocess med renset miljø. Men Read-verktøyet var ikke underlagt samme sandboxing. Det kunne gjøre direkte in-process lesing.

I en test fikk Microsoft en prompt injection til å styre agenten mot /proc/self/environ. Der lå blant annet ANTHROPIC_API_KEY. Dersom Bash hadde vært brukt, ville miljøet vært renset. Med Read-verktøyet var nøkkelen synlig.

Microsoft peker også på flere mulige veier ut av miljøet. En angriper kunne, avhengig av workflow-konfigurasjonen, forsøke WebFetch, Bash, GitHub MCP, issue-kommentarer eller action-logger. Selskapet viser også hvordan en nøkkel kunne manipuleres før utskrift slik at GitHubs secret scanning ikke nødvendigvis fanget mønsteret.

Anthropic ble varslet via HackerOne 29. april. Ifølge Microsoft ble problemet mitigert i Claude Code 2.1.128 5. mai ved å blokkere tilgang til sensitive filer i /proc.

Derfor er dette mer enn en teknisk bug

Saken er nyttig fordi den viser en praktisk grensefeil mange virksomheter kan gjenskape uten å mene det. De lar agenten lese upålitelig innhold. De gir agenten tilgang til filer eller verktøy. De kjører agenten i et miljø med hemmeligheter. Da er agenten ikke en assistent. Den er en privilegert aktør inne i leveransekjeden.

Dette er også en annen type risiko enn tradisjonell CI/CD-automatisering. En YAML-jobb gjør det den er skrevet til. En agent tolker tekst. Tekst fra en issue, en kommentar eller en pull request kan dermed bli instruksjon, ikke bare input.

For en CISO er hovedpoenget enkelt: agentiske utviklerverktøy må behandles som runtime-systemer med identitet, tilgang og utgående kanaler. De kan ikke innføres som «bare litt bedre kodeassistanse».

For en CIO er poenget like praktisk. Kostnaden ved å stoppe agentbruk er høy, men ukontrollert agentbruk kan gjøre utviklingsplattformen til en ny leverandørkjede-risiko. Det må inn i policy, plattformdesign og innkjøpskrav.

Hva norske virksomheter bør gjøre nå

Det første er å oppdatere Claude Code Action og tilsvarende agent-workflows. Det andre er å kartlegge hvilke workflows som lar AI-agenter behandle issues, PR-er eller kommentarer fra brukere uten skrivetilgang.

Deretter bør virksomhetene bruke en enkel regel: En AI-agent bør ikke samtidig ha tre ting. Den bør ikke både behandle upålitelig input, ha tilgang til hemmeligheter, og kunne endre tilstand eller kommunisere ut. Microsoft viser til denne typen «rule of two»-tenkning som praktisk sikring.

Det betyr ikke at agentene må bort. Det betyr at tilgangene må skilles. Agenten kan lese upålitelig input, men da uten secrets. Den kan ha secrets, men da med stram kontroll på input og utgående kanaler. Den kan foreslå endringer, men ikke nødvendigvis åpne pull requests eller skrive til eksterne tjenester uten godkjenning.

Dette bør også inn i leverandørstyringen. Spørsmålene er konkrete: Hvilke filer kan agenten lese? Hvilke miljøvariabler er synlige? Hvilke verktøy kan den bruke? Hvilke egress-kanaler finnes? Hvordan håndteres prompt injection? Hvordan logges og revideres verktøybruk?

AI-agenten i CI/CD-løpet er nyttig. Men den er også en ny insider med terminal, repo-kontekst og språkforståelse. Det er en potent kombinasjon. Den må styres deretter.

Kilder og medier

Primærkilde: Microsoft Threat Intelligence, «Securing CI/CD in an agentic world: Claude Code Github action case», publisert 5. juni 2026: https://www.microsoft.com/en-us/security/blog/2026/06/05/securing-ci-cd-in-agentic-world-claude-code-github-action-case/

Kildekreditering: Microsoft Threat Intelligence. Anthropic Claude Code 2.1.128 er omtalt som mitigering i Microsofts publiserte tidslinje.

Thumbnail: OpenAI Image 2 / hogby.ai