Danny Weber
Johns Hopkins araştırmacıları, GitHub AI asistanlarında keşfedilen güvenlik açığını açıklıyor. Anthropic, Google ve Microsoft etkilendi. Detaylar burada.
Johns Hopkins Üniversitesi'nden güvenlik araştırmacıları, GitHub Actions içinde kullanılan yapay zeka asistanlarında ciddi bir güvenlik açığı keşfetti. Bu açık, Anthropic, Google ve Microsoft'un çözümlerini etkiliyor; GitHub Copilot gibi araçlar da bu kapsamda yer alıyor.
Aonan Guan liderliğindeki ekip, yeni bir saldırı yöntemi gösterdi: kötü niyetli talimatları doğrudan pull request metinlerine ve yorumlarına enjekte etmek. Yapay zeka asistanları, görevlerinin bir parçası olarak bu verileri otomatik işliyor ve gömülü komutları çalıştırarak, gizli bilgiler içerebilecek sonuçları yayınlayabiliyor.
Comment and Control adı verilen teknikte, saldırgan açıklamalara veya yorumlara gizli veya kamufle edilmiş komutlar ekliyor. Asistan daha sonra bunları GitHub ortamında çalıştırıyor ve erişim token'ları, API anahtarları gibi hassas verileri doğrudan kamuya açık yanıtlara sızdırabiliyor.
İlk hedeflerden biri Anthropic'in güvenlik aracıydı. Araştırmacılar, bu aracın pull request başlıklarını güvenilir içerik olarak değerlendirdiğini ve "whoami" gibi komutların çalıştırılıp sonuçların yorum olarak paylaşılabildiğini tespit etti. API anahtarı sızıntıları da dahil daha ciddi senaryolar gösterildikten sonra şirket, sorunu kabul etti, kritiklik derecesini 9.4 olarak belirledi ve dokümantasyonuna bir uyarı ekledi.
Benzer bir yaklaşım Google'ın çözümüne karşı da işe yaradı. Araştırmacılar, bir yoruma sahte bir "güvenilir içerik" bloğu ekleyerek yerleşik kısıtlamaları aştı ve GEMINI_API_KEY değişkeninin yayınlanmasını sağladı. Google bulguyu kabul etti ve bir ödül ödedi.
Microsoft'un GitHub Copilot'ı en dirençli çözüm olarak öne çıktı, ancak o da atlatılabildi. Saldırganlar, kullanıcılara görünmeyen ancak yapay zeka işlemesine açık olan gizli HTML yorumları kullandı. Sorunun zaten bilindiği yönündeki ilk iddialara rağmen, Microsoft da saldırı gösteriminin ardından bir ödül ödedi.
Dikkat çeken bir nokta, şirketlerin hiçbirinin güvenlik açığı tanımlayıcıları açıklamaması veya kullanıcılara detaylı rehberlik yayınlamaması oldu. Araştırmacılara göre bu durum ek risk oluşturuyor, çünkü geliştiriciler tehditten habersiz bir şekilde savunmasız araç sürümlerini kullanmaya devam edebilir.
© RusPhotoBank