Danny Weber
Badacze z Johns Hopkins University odkryli lukę w agentach AI GitHub Actions, pozwalającą na wstrzykiwanie złośliwych instrukcji. Dotyczy narzędzi Anthropic, Google i Microsoft.
Badacze bezpieczeństwa z Johns Hopkins University odkryli poważną lukę w agentach AI wykorzystywanych w ramach GitHub Actions. Usterka dotyczy rozwiązań firm Anthropic, Google i Microsoft, w tym narzędzi takich jak GitHub Copilot.
Zespół pod kierownictwem Aonana Guana zaprezentował nową metodę ataku, polegającą na wstrzykiwaniu złośliwych instrukcji bezpośrednio do tekstu pull requestów i komentarzy. Agenty AI automatycznie przetwarzają te dane jako część swoich zadań, co może prowadzić do wykonania osadzonych poleceń i opublikowania wyników, które mogą zawierać poufne informacje.
Technika, nazwana Comment and Control, polega na tym, że atakujący dodaje ukryte lub zamaskowane komendy do opisów lub komentarzy. Agent następnie uruchamia je w środowisku GitHub, potencjalnie ujawniając tokeny dostępu, klucze API i inne wrażliwe dane bezpośrednio w publicznych odpowiedziach.
Jednym z pierwszych celów było narzędzie bezpieczeństwa firmy Anthropic. Badacze ustalili, że traktuje ono tytuły pull requestów jako zaufany kontekst, pozwalając na wykonanie poleceń takich jak "whoami" i opublikowanie wyników w komentarzach. Po zademonstrowaniu poważniejszych scenariuszy, w tym wycieków kluczy API, firma przyznała się do problemu, oceniając jego krytyczność na 9.4, i dodała ostrzeżenie w dokumentacji.
Podobne podejście zadziałało przeciwko rozwiązaniu Google. Poprzez wstawienie fałszywego bloku "zaufanej treści" do komentarza, badacze ominęli wbudowane ograniczenia i wymusili publikację zmiennej GEMINI_API_KEY. Google potwierdziło odkrycie i wypłaciło nagrodę.
GitHub Copilot od Microsoftu okazał się najbardziej odporny, ale i jego udało się obejść. Atakujący wykorzystali ukryte komentarze HTML, niewidoczne dla użytkowników, ale dostępne dla przetwarzania AI. Pomimo początkowych twierdzeń, że problem był już znany, Microsoft również wypłacił nagrodę po demonstracji ataku.
Co istotne, żadna z firm nie ujawniła identyfikatorów luk ani nie opublikowała szczegółowych wytycznych dla użytkowników. Według badaczy stwarza to dodatkowe ryzyko, ponieważ programiści mogą nadal używać narażonych wersji narzędzi, nie będąc świadomi zagrożenia.
© RusPhotoBank