ИИ-агенты в GitHub могут раскрывать API-ключи и токены через внедрение вредоносных команд.
ИИ в GitHub оказался уязвим: агенты могут сливать ключи
Фото: © RusPhotoBank
Исследователи безопасности из Университета Джонса Хопкинса обнаружили серьёзную уязвимость в ИИ-агентах, используемых в GitHub Actions. Под удар попали решения от Anthropic, Google и Microsoft, включая инструменты вроде GitHub Copilot.
Команда под руководством Аонана Гуана продемонстрировала новый тип атаки — внедрение вредоносных инструкций прямо в текст pull-запросов и комментариев. ИИ-агенты автоматически обрабатывают эти данные как часть задачи, из-за чего могут выполнять встроенные команды и публиковать результаты, включая конфиденциальную информацию.
Метод получил название Comment and Control. Его суть в том, что злоумышленник добавляет скрытую или замаскированную команду в описание или комментарий, после чего агент выполняет её в среде GitHub и может случайно раскрыть токены доступа, API-ключи и другие чувствительные данные прямо в публичных ответах.
Одной из первых целей стал инструмент безопасности от Anthropic. Исследователи выяснили, что он воспринимает заголовки pull-запросов как доверенный контекст, что позволило выполнить команды вроде «whoami» и получить результат в виде комментария. После демонстрации более серьёзных сценариев, включая утечку API-ключей, компания признала проблему и оценила её критичность на уровне 9.4, ограничившись предупреждением в документации.
Аналогичный подход сработал и против решения от Google. Добавив в комментарий фальшивый блок «доверенного контента», исследователи смогли обойти встроенные ограничения и добиться публикации переменной GEMINI_API_KEY. Компания признала находку и выплатила вознаграждение.
Наиболее защищённым оказался GitHub Copilot от Microsoft, однако и его удалось обойти. Для этого использовались скрытые HTML-комментарии, незаметные для пользователя, но доступные для обработки ИИ. Несмотря на первоначальное заявление о том, что проблема уже известна, после демонстрации атаки компания также выплатила вознаграждение.
Примечательно, что ни одна из компаний не раскрыла идентификаторы уязвимостей и не опубликовала подробные рекомендации для пользователей. По словам исследователей, это создаёт дополнительный риск, поскольку разработчики могут продолжать использовать уязвимые версии инструментов, даже не подозревая об угрозе.