Veiligheidsonderzoekers van Johns Hopkins University hebben een ernstige kwetsbaarheid ontdekt in AI-agents die worden gebruikt binnen GitHub Actions. De fout treft oplossingen van Anthropic, Google en Microsoft, waaronder tools zoals GitHub Copilot.
Onder leiding van Aonan Guan toonde het team een nieuwe aanvalsmethode aan: het injecteren van kwaadaardige instructies rechtstreeks in pull request-tekst en opmerkingen. AI-agents verwerken deze gegevens automatisch als onderdeel van hun taken, waardoor ingebedde commando's mogelijk worden uitgevoerd en resultaten worden gepubliceerd die vertrouwelijke informatie kunnen bevatten.
De techniek, gedoopt tot Comment and Control, houdt in dat een aanvaller verborgen of vermomde commando's toevoegt aan beschrijvingen of opmerkingen. De agent voert deze vervolgens uit in de GitHub-omgeving, wat kan leiden tot het lekken van toegangstokens, API-sleutels en andere gevoelige gegevens rechtstreeks in openbare reacties.
Een van de eerste doelen was de beveiligingstool van Anthropic. Onderzoekers ontdekten dat deze pull request-titels als vertrouwde context behandelt, waardoor commando's zoals "whoami" kunnen worden uitgevoerd en resultaten als opmerkingen worden geplaatst. Na het demonstreren van ernstigere scenario's, waaronder het lekken van API-sleutels, erkende het bedrijf het probleem, beoordeelde de kritiek op 9,4 en voegde een waarschuwing toe in de documentatie.
Een vergelijkbare aanpak werkte tegen de oplossing van Google. Door een nep "vertrouwde inhoud"-blok in een opmerking in te voegen, omzeilden onderzoekers ingebouwde beperkingen en dwongen ze de publicatie van een GEMINI_API_KEY-variabele af. Google erkende de bevinding en betaalde een beloning.
GitHub Copilot van Microsoft bleek het meest veerkrachtig, maar ook dit werd omzeild. Aanvallers gebruikten verborgen HTML-opmerkingen, onzichtbaar voor gebruikers maar toegankelijk voor AI-verwerking. Ondanks aanvankelijke beweringen dat het probleem al bekend was, betaalde Microsoft ook een beloning na de aanvalsdemonstratie.
Opvallend is dat geen van de bedrijven kwetsbaarheidsidentificatoren heeft vrijgegeven of gedetailleerde gebruikersrichtlijnen heeft gepubliceerd. Volgens de onderzoekers brengt dit extra risico's met zich mee, aangezien ontwikkelaars mogelijk kwetsbare toolversies blijven gebruiken zonder zich bewust te zijn van de dreiging.