Danny Weber
Tutkijat paljastivat Comment and Control -hyökkäyksen, joka vuotaa arkaluonteista tietoa GitHub Actions -tekoälyagenteissa. Lue, miten Anthropic, Google ja Microsoft reagoivat.
Johns Hopkinsin yliopiston turvatutkijat ovat paljastaneet vakavan haavoittuvuuden GitHub Actions -palvelussa käytettävissä tekoälyagenteissa. Kyseinen heikkous koskee Anthropicin, Googlen ja Microsoftin ratkaisuja, mukaan lukien työkaluja kuten GitHub Copilot.
Aonan Guanin johtama tiimi esitteli uudenlaista hyökkäysmenetelmää, jossa haitallisia ohjeita injektoidaan suoraan pull request -teksteihin ja kommentteihin. Tekoälyagentit käsittelevät tätä tietoa automaattisesti osana tehtäviään, mikä voi johtaa upotettujen komentojen suorittamiseen ja tulosten julkaisemiseen – tulokset voivat sisältää luottamuksellista tietoa.
Comment and Control -nimellä kutsuttu tekniikka perustuu siihen, että hyökkääjä lisää piilotettuja tai naamioituja komentoja kuvauksiin tai kommentteihin. Agentti suorittaa nämä komennot GitHub-ympäristössä, mikä voi vuotaa käyttöoikeustunnuksia, API-avaimia ja muita arkaluonteisia tietoja suoraan julkisiin vastauksiin.
Yksi ensimmäisistä kohteista oli Anthropicin turvallisuustyökalu. Tutkijat havaitsivat, että se käsittelee pull request -otsikoita luotettuna kontekstina, sallien komentojen kuten "whoami" suorittamisen ja tulosten julkaisemisen kommentteina. Yritys myönsi ongelman vakavuuden arvioituaan sen kriittisyydeksi 9,4, ja se lisäsi varoituksen dokumentaatioonsa.
Samankaltainen lähestymistapa toimi myös Googlen ratkaisua vastaan. Tutkijat ohittivat sisäänrakennetut rajoitukset ja pakottivat GEMINI_API_KEY-muuttujan julkaisemisen lisäämällä kommenttiin väärän "luotetun sisällön" lohkon. Google myönsi löydön ja maksoi palkkion.
Microsoftin GitHub Copilot osoittautui joustavimmaksi, mutta myös sitä vastaan keksittiin kiertotie. Hyökkääjät käyttivät piilotettuja HTML-kommentteja, jotka ovat näkymättömiä käyttäjille mutta saatavilla tekoälyn käsittelylle. Microsoft maksoi palkkion hyökkäyden esittelyn jälkeen.
Merkillisesti yksikään yrityksistä ei paljastanut haavoittuvuustunnisteita tai julkaissut yksityiskohtaista käyttäjäopastusta. Tutkijoiden mukaan tämä luo lisäriskin, sillä kehittäjät saattavat jatkaa haavoittuvien työkaluversioiden käyttöä tietämättä uhatta.
© RusPhotoBank