Cercetătorii în securitate de la Universitatea Johns Hopkins au descoperit o vulnerabilitate gravă în agenții de AI utilizați în cadrul GitHub Actions. Defectul afectează soluțiile de la Anthropic, Google și Microsoft, inclusiv instrumente precum GitHub Copilot.
Conduși de Aonan Guan, echipa a demonstrat o nouă metodă de atac – injectarea de instrucțiuni malicioase direct în textul cererilor de pull și în comentarii. Agenții de AI procesează automat aceste date ca parte din sarcinile lor, executând potențial comenzi încorporate și publicând rezultate care ar putea include informații confidențiale.
Denumită Comment and Control, tehnica presupune ca un atacator să adauge comenzi ascunse sau deghizate în descrieri sau comentarii. Agentul le rulează apoi în mediul GitHub, riscând să scurgă token-uri de acces, chei API și alte date sensibile direct în răspunsurile publice.
Una dintre primele ținte a fost instrumentul de securitate al lui Anthropic. Cercetătorii au constatat că acesta tratează titlurile cererilor de pull ca pe un context de încredere, permițând executarea unor comenzi precum "whoami" și postarea rezultatelor ca comentarii. După ce au demonstrat scenarii mai grave, inclusiv scurgeri de chei API, compania a recunoscut problema, evaluând severitatea la 9,4, și a adăugat un avertisment în documentație.
O abordare similară a funcționat împotriva soluției Google. Prin inserarea unui bloc fals de "conținut de încredere" într-un comentariu, cercetătorii au ocolit restricțiile încorporate și au forțat publicarea unei variabile GEMINI_API_KEY. Google a recunoscut descoperirea și a plătit o recompensă.
GitHub Copilot de la Microsoft s-a dovedit cel mai rezistent, dar și el a fost depășit. Atacatorii au folosit comentarii HTML ascunse, invizibile pentru utilizatori dar accesibile procesării AI. În ciuda afirmațiilor inițiale că problema era deja cunoscută, Microsoft a plătit și el o recompensă după demonstrația atacului.
În mod notabil, niciuna dintre companii nu a dezvăluit identificatori de vulnerabilitate sau nu a publicat ghidaje detaliate pentru utilizatori. Potrivit cercetătorilor, acest lucru creează un risc suplimentar, deoarece dezvoltatorii ar putea continua să folosească versiuni vulnerabile ale instrumentelor fără a fi conștienți de amenințare.