AI-агент GitHub сливает приватные репозитории через «prompt injection»

внедрение промптов ии-агенты Github Gitlost кибербезопасность csoonline.com

Атака GitLost с внедрением промптов обманула Agentic Workflows GitHub, заставив ИИ-агента публиковать данные из приватных репозиториев. Исследование Noma Security выявило архитектурные риски при наделении ИИ-агентов доступом к конфиденциальным данным.

Атака с внедрением промптов (prompt injection) может обмануть предварительную версию Agentic Workflows от GitHub, заставив систему извлекать контент из приватных репозиториев и публиковать его, что выявляет более широкие риски по мере того, как предприятия внедряют ИИ-агентов с привилегированным доступом к средам разработки программного обеспечения, согласно новому исследованию Noma Security.

Компания, специализирующаяся на безопасности ИИ, подробно описала эту атаку, получившую название GitLost, в посте в блоге, заявив, что неаутентифицированный злоумышленник может использовать предварительную версию Agentic Workflows GitHub, отправив специально сформированный GitHub Issue в публичный репозиторий. Если у ИИ-агента есть права на чтение приватных репозиториев в той же организации, он может извлечь конфиденциальную информацию и опубликовать ее в публичном комментарии, сообщила компания.

GitHub Agentic Workflows объединяют GitHub Actions с моделями ИИ, такими как Claude или GitHub Copilot, позволяя разработчикам определять рабочие процессы в Markdown. При этом ИИ-агенты читают запросы (issues), вызывают инструменты и выполняют задачи от имени пользователей.

«Что произойдет, когда агент GitHub прочитает то, что не должен доверять?» — написал исследователь Noma Саси Леви. «Ответ — классическая атака с косвенным внедрением промптов, тип атаки, который незаметно отправляет частные данные любому в интернете».

Публичный GitHub Issue стал вектором атаки

По данным Noma, атака не опиралась на украденные учетные данные, вредоносное ПО или уязвимости в программном обеспечении. Вместо этого злоумышленник внедрил скрытые инструкции в GitHub Issue, отправленный в публичный репозиторий.

Поскольку ИИ-агент интерпретировал этот запрос как инструкцию, а не как недоверенный контент, он получил доступ к приватному репозиторию и опубликовал его содержимое в публичном комментарии, добавлено в посте блога.

«Первопричина уязвимости GitLost, на сегодняшний день, хорошо известна в агентных ИИ-системах: внедрение промптов», — написал Леви. «В данном конкретном случае любой злоумышленник может создать GitHub Issue и скрыть в теле этого запроса команды на простом английском языке, которым последует агент GitHub».

Чтобы продемонстрировать атаку, исследователи создали нечто, выглядевшее как обычный GitHub Issue с запросом на обновление документации. Как только рабочий процесс был запущен, ИИ-агент извлек файл README из приватного репозитория и опубликовал его содержимое в общедоступном комментарии.

Исследователи также заявили, что обошли защитные механизмы GitHub, основанные на промптах, внеся небольшое изменение в формулировку, из-за которого ИИ-агент выполнил инструкции, которые ранее отклонял.

GitHub не сразу ответил на запрос о комментарии.

Исследование указывает на более широкий риск, связанный с ИИ-агентами

Noma заявила, что GitLost иллюстрирует более широкую архитектурную проблему для ИИ-агентов, а не уязвимость, присущую только GitHub.

«Проблема не в том, что ИИ-агент GitHub необычайно небезопасен», — написал Леви. «Проблема в том, что любой ИИ-агент, имеющий доступ как к недоверенному внешнему контенту, так и к конфиденциальным внутренним ресурсам, может стать непреднамеренным мостом между ними, если границы доверия не соблюдаются».

Независимый исследователь кибербезопасности и специалист по red team Вибхум Дубей заявил, что эти выводы обнажают более фундаментальную проблему, чем просто внедрение промптов.

«Это не внедрение промптов в абстрактном смысле — это то, что GitHub предоставил агентам разрешения до того, как обеспечил их безопасность», — сказал Дубей. «Уязвимость показывает, что ИИ-агенты работают по модели разрешений сервисной учетной записи, а не по модели разрешений пользователя. Это архитектурное допущение, которое команды безопасности сделали до того, как стали рассматривать LLM как вектор атаки».

По словам Дубея, само внедрение промптов почти вторично.

«Опасно то, что границы доверия существуют в модели данных GitHub, но отсутствуют в контексте выполнения агента», — сказал он. «Агент не «знает», что репозиторий приватный. Он просто видит «доступно». По мере того как организации развертывают больше агентов, мы накапливаем эти невидимые пробелы в разрешениях».

Эксперты призывают к ужесточению контроля над ИИ-агентами

Дубей считает, что организациям следует пересмотреть подход к предоставлению разрешений ИИ-агентам, а не рассматривать эту проблему в первую очередь как задачу мониторинга.

«Три конкретных исправления: Агенты должны получать явные белые списки репозиториев, а не широкий доступ сервисной учетной записи. Все пользовательские вводы, включая сообщения коммитов, описания PR и запросы, должны проверяться до того, как они достигнут LLM. И держите наготове аварийный выключатель», — сказал он. «Большинство команд могут отключить скомпрометированный API-ключ. Можете ли вы отключить вышедшего из-под контроля агента?»

Дубей отметил, что GitLost демонстрирует, как ИИ-агенты могут фактически стать внутренней угрозой, получив широкий организационный доступ.

«Гениальность GitLost не в том, что он обманул ИИ. А в том, что он использовал допущение GitHub о том, что сервисные учетные записи заслуживают доверия», — сказал он. «Агенты были специально созданы для обхода человеческого суждения и автономной работы. Именно поэтому они опасны: мы нормализовали операции, пересекающие границы, в тот момент, когда автоматизировали их». Noma также рекомендовала применять принципы наименьших привилегий, ограничивать доступ ИИ-агентов между репозиториями и рассматривать GitHub Issues, pull requests и комментарии как недоверенный ввод.

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

В тренде:


Похожие новости: