Danny Weber
Découvrez une vulnérabilité grave dans les agents d'IA de GitHub Actions, touchant Anthropic, Google et Microsoft, avec des risques de fuite de données sensibles.
Des chercheurs en sécurité de l'Université Johns Hopkins ont découvert une vulnérabilité grave dans les agents d'IA utilisés au sein de GitHub Actions. Cette faille touche des solutions d'Anthropic, de Google et de Microsoft, incluant des outils comme GitHub Copilot.
Sous la direction d'Aonan Guan, l'équipe a démontré une nouvelle méthode d'attaque : l'injection d'instructions malveillantes directement dans le texte et les commentaires des demandes de tirage. Les agents d'IA traitent automatiquement ces données dans le cadre de leurs tâches, risquant d'exécuter des commandes intégrées et de publier des résultats qui pourraient contenir des informations confidentielles.
Baptisée Comment and Control, cette technique consiste pour un attaquant à ajouter des commandes cachées ou déguisées dans les descriptions ou commentaires. L'agent les exécute ensuite dans l'environnement GitHub, avec le risque de divulguer des jetons d'accès, des clés API et d'autres données sensibles directement dans des réponses publiques.
L'un des premiers cibles a été l'outil de sécurité d'Anthropic. Les chercheurs ont constaté qu'il traite les titres des demandes de tirage comme un contexte de confiance, permettant d'exécuter des commandes comme "whoami" et de publier les résultats en commentaires. Après avoir démontré des scénarios plus graves, incluant des fuites de clés API, l'entreprise a reconnu le problème, évaluant sa criticité à 9,4, et a ajouté un avertissement dans sa documentation.
Une approche similaire a fonctionné contre la solution de Google. En insérant un bloc "contenu de confiance" factice dans un commentaire, les chercheurs ont contourné les restrictions intégrées et forcé la publication d'une variable GEMINI_API_KEY. Google a reconnu cette découverte et a versé une prime.
GitHub Copilot de Microsoft s'est révélé le plus résistant, mais il a également été contourné. Les attaquants ont utilisé des commentaires HTML cachés, invisibles pour les utilisateurs mais accessibles au traitement par l'IA. Malgré des affirmations initiales selon lesquelles le problème était déjà connu, Microsoft a également payé une prime après la démonstration de l'attaque.
Il est à noter que aucune des entreprises n'a divulgué d'identifiants de vulnérabilité ni publié de guide utilisateur détaillé. Selon les chercheurs, cela crée un risque supplémentaire, car les développeurs pourraient continuer à utiliser des versions vulnérables des outils sans être conscients de la menace.
© RusPhotoBank