Danny Weber
Johns Hopkins kutatók felfedeztek egy kritikus sebezhetőséget GitHub Actions AI ügynökökben, ami Anthropic, Google és Microsoft eszközeit érinti. Ismerje meg a kockázatokat és a védekezési lehetőségeket.
A Johns Hopkins Egyetem biztonsági kutatói felfedeztek egy súlyos sebezhetőséget a GitHub Actions-ban használt mesterséges intelligencia ügynökökben. A hiba az Anthropic, a Google és a Microsoft megoldásait érinti, beleértve a GitHub Copilot eszközt is.
Aonan Guan vezetésével a csoport bemutatott egy új támadási módszert – rosszindulatú utasítások közvetlen befecskendezését a pull request szövegébe és megjegyzéseibe. Az AI ügynökök automatikusan feldolgozzák ezeket az adatokat feladataik részeként, ami esetleg beágyazott parancsok végrehajtásához és eredmények közzétételéhez vezethet, beleértve bizalmas információkat is.
A Comment and Control névre keresztelt technika során a támadó rejtett vagy álcázott parancsokat helyez el leírásokban vagy megjegyzésekben. Az ügynök ezután ezeket futtatja a GitHub környezetben, ami hozzáférési tokenek, API-kulcsok és más érzékeny adatok nyilvános válaszokba történő kiszivárgását eredményezheti.
Az első célpontok egyike az Anthropic biztonsági eszköze volt. A kutatók azt találták, hogy az a pull request címeket megbízható környezetként kezeli, ami lehetővé teszi olyan parancsok végrehajtását, mint a „whoami”, és az eredmények megjegyzésként történő közzétételét. A súlyosabb forgatókönyvek bemutatása után, beleértve API-kulcsok kiszivárgását, a vállalat elismerte a problémát, kritikusságát 9,4-es értékkel minősítette, és figyelmeztetést adott hozzá dokumentációjában.
Hasonló megközelítés működött a Google megoldása ellen is. Egy hamis „megbízható tartalom” blokk megjegyzésbe való beillesztésével a kutatók megkerülték a beépített korlátozásokat, és kényszerítették egy GEMINI_API_KEY változó közzétételét. A Google elismerte a felfedezést és díjazta azt.
A Microsoft GitHub Copilotja a legellenállóbbnak bizonyult, de azt is megkerülték. A támadók rejtett HTML megjegyzéseket használtak, amelyek a felhasználók számára láthatatlanok, de az AI feldolgozás számára elérhetőek. Annak ellenére, hogy kezdetben azt állították, hogy a probléma már ismert volt, a Microsoft szintén díjazta a támadási bemutatót.
Érdemes megjegyezni, hogy egyik vállalat sem tette közzé a sebezhetőség azonosítóit vagy részletes felhasználói útmutatást. A kutatók szerint ez további kockázatot jelent, mivel a fejlesztők továbbra is sebezhető eszközverziókat használhatnak a fenyegetés tudta nélkül.
© RusPhotoBank