Kritikus sebezhetőséget találtak az AI-kódügynökökben — Anthropic, Google, Microsoft érintett
A Johns Hopkins Egyetem kutatói egyetlen rosszindulatú GitHub pull request címmel szivárogtattak ki API kulcsokat, kihasználva a rendszerek gyenge pontjait.
Három népszerű AI-kódügynök – az Anthropic Claude Code Security Review, a Google Gemini CLI Action és a GitHub Copilot Agent – is titkos adatokat szivárogtatott ki egyetlen prompt injection támadással — írja a VentureBeat. A támadáshoz nem kellett külső infrastruktúra, mindössze egy rosszindulatú utasítás a pull request címében.
A sebezhetőséget Aonan Guan, Zhengyu Liu és Gavin Zhong fedezte fel, akik „Comment and Control” néven publikálták a technikai részleteket. A GitHub Actions alapértelmezetten nem teszi ki a titkokat a fork pull requesteknek, de a pull_request_target triggert használó munkafolyamatok – amelyeket a legtöbb AI-ügynök integráció igényel a titkos adatok eléréséhez – injektálják azokat a futtatókörnyezetbe.
A szellem a gépezetben
Ez korlátozza a támadási felületet, de nem szünteti meg teljesen: a kollaborátorok, a kommentmezők és minden olyan repository, amely pull_request_target-et használ AI-kódügynökkel, ki van téve a kockázatnak.
Az Anthropic 9.4-es CVSS kritikus besorolású hibaként kezelte a problémát, és 100 dolláros hibavadászati díjat fizetett. A Google 1337 dollárt, a GitHub pedig 500 dollárt ítélt meg a Copilot Bounty Program keretében.
Kódok és árnyak
A Comment and Control a Claude Code Security Review prompt injection sebezhetőségét használta ki, amelyről az Anthropic saját rendszerkártyája is elismerte, hogy „nincs megerősítve prompt injection ellen”. A GitHub szombatig nem adott ki CVE-ket a NVD-ben, sem biztonsági tanácsadásokat a GitHub Security Advisories-en keresztül, a hibát csendben javította, a Copilot Bounty Program keretében 500 dollárt ítélt meg.