Danny Weber
Sikkerhetsforskere avdekker en alvorlig sårbarhet i AI-agenter i GitHub Actions, inkludert GitHub Copilot, som kan føre til datalekkasjer. Les mer om risikoen.
Sikkerhetsforskere fra Johns Hopkins University har avdekket en alvorlig sårbarhet i AI-agenter som brukes i GitHub Actions. Feilen rammer løsninger fra Anthropic, Google og Microsoft, inkludert verktøy som GitHub Copilot.
Under ledelse av Aonan Guan viste forskerne en ny angrepsmetode der ondsinnede instruksjoner injiseres direkte i pull request-tekst og kommentarer. AI-agentene behandler automatisk disse dataene som del av oppgavene sine, noe som kan føre til at de utfører skjulte kommandoer og publiserer resultater som kan inneholde konfidensiell informasjon.
Teknikken, kalt Comment and Control, innebærer at en angriper legger til skjulte eller kamuflerte kommandoer i beskrivelser eller kommentarer. Agenten kjører disse deretter i GitHub-miljøet, noe som potensielt lekker tilgangstokener, API-nøkler og andre sensitive data direkte til offentlige svar.
Et av de første målene var Anthropics sikkerhetsverktøy. Forskere fant at det behandler pull request-titler som pålitelig kontekst, noe som lar kommandoer som "whoami" bli utført og resultater lagt ut som kommentarer. Etter å ha demonstrert mer alvorlige scenarier, inkludert lekkasjer av API-nøkler, anerkjente selskapet problemet og vurderte kritikaliteten til 9,4, samt la til en advarsel i dokumentasjonen.
En lignende tilnærming fungerte mot Googles løsning. Ved å sette inn en falsk "pålitelig innholdsblokk" i en kommentar, omgikk forskerne innebygde restriksjoner og tvang frem publisering av en GEMINI_API_KEY-variabel. Google anerkjente funnet og utbetalte en dusør.
GitHub Copilot fra Microsoft viste seg å være mest motstandsdyktig, men også den ble omgått. Angripere brukte skjulte HTML-kommentarer som er usynlige for brukere, men tilgjengelige for AI-behandling. Til tross for påstander om at problemet allerede var kjent, betalte Microsoft også en dusør etter angrepsdemonstrasjonen.
Det er verdt å merke seg at ingen av selskapene offentliggjorde sårbarhetsidentifikatorer eller publiserte detaljert brukerveiledning. Ifølge forskerne skaper dette en ekstra risiko, da utviklere kan fortsette å bruke sårbare verktøyversjoner uten å være klar over trusselen.
© RusPhotoBank