Danny Weber
Ricercatori scoprono vulnerabilità in agenti AI GitHub Actions che permette iniezione di comandi malevoli. Rischio esposizione dati sensibili in Anthropic, Google e Microsoft.
Ricercatori della Johns Hopkins University hanno scoperto una grave vulnerabilità negli agenti AI utilizzati all'interno di GitHub Actions. Il difetto interessa soluzioni di Anthropic, Google e Microsoft, compresi strumenti come GitHub Copilot.
Guidato da Aonan Guan, il team ha dimostrato un nuovo metodo di attacco: l'iniezione di istruzioni malevole direttamente nel testo delle pull request e nei commenti. Gli agenti AI elaborano automaticamente questi dati come parte dei loro compiti, rischiando di eseguire comandi incorporati e pubblicare risultati che potrebbero includere informazioni riservate.
Chiamata Comment and Control, la tecnica prevede che un attaccante aggiunga comandi nascosti o camuffati alle descrizioni o ai commenti. L'agente li esegue poi nell'ambiente GitHub, potenzialmente esponendo token di accesso, chiavi API e altri dati sensibili direttamente nelle risposte pubbliche.
Uno dei primi bersagli è stato lo strumento di sicurezza di Anthropic. I ricercatori hanno scoperto che tratta i titoli delle pull request come contesto attendibile, consentendo l'esecuzione di comandi come "whoami" e la pubblicazione dei risultati come commenti. Dopo aver dimostrato scenari più gravi, comprese fughe di chiavi API, l'azienda ha riconosciuto il problema, valutandone la criticità a 9.4, e ha aggiunto un avviso nella documentazione.
Un approccio simile ha funzionato contro la soluzione di Google. Inserendo un blocco fittizio di "contenuto attendibile" in un commento, i ricercatori hanno aggirato le restrizioni integrate e forzato la pubblicazione di una variabile GEMINI_API_KEY. Google ha riconosciuto la scoperta e ha corrisposto un premio.
GitHub Copilot di Microsoft si è rivelato il più resistente, ma anch'esso è stato aggirato. Gli attaccanti hanno utilizzato commenti HTML nascosti, invisibili agli utenti ma accessibili all'elaborazione AI. Nonostante le affermazioni iniziali che il problema fosse già noto, Microsoft ha comunque corrisposto un premio dopo la dimostrazione dell'attacco.
È significativo che nessuna delle aziende abbia divulgato identificatori di vulnerabilità o pubblicato linee guida dettagliate per gli utenti. Secondo i ricercatori, ciò crea un rischio aggiuntivo, poiché gli sviluppatori potrebbero continuare a utilizzare versioni vulnerabili degli strumenti senza essere consapevoli della minaccia.
© RusPhotoBank