Добавить в корзинуПозвонить
Найти в Дзене
Хайтек
72 тыс подписчиков

Исследователи взломали ИИ‑агентов Anthropic, Google и Microsoft через GitHub Actions

40
1 мин
Ученые из Университета Джонса Хопкинса использовали атаку Comment and Control. Они внедряли вредоносные инструкции в заголовки pull‑запросов или комментарии к задачам. Агенты Claude Code Security, Gemini CLI Action и GitHub Copilot выполняли команды оболочки и раскрывали API‑ключи и токены доступа. Группа под руководством Аонана Гуана обнаружила, как злоумышленники могут перехватывать управление ИИ‑агентами, встроенными в GitHub Actions. Они назвали метод Comment and Control. Хакер вписывает команду в текст запроса, агент считывает её и выполняет в среде GitHub Actions. Затем публикует результат, содержащий украденные токены, в виде комментария. Первой жертвой стал агент Anthropic для поиска уязвимостей в коде. Гуан заметил, что система обрабатывает заголовки pull‑запросов как часть контекста задачи. Он выполнил команду «whoami» и получил ответ в комментарии к безопасности. Затем он смог украсть более чувствительные данные, например ключи API. Anthropic выплатила $100, повысила критичн

Ученые из Университета Джонса Хопкинса использовали атаку Comment and Control. Они внедряли вредоносные инструкции в заголовки pull‑запросов или комментарии к задачам. Агенты Claude Code Security, Gemini CLI Action и GitHub Copilot выполняли команды оболочки и раскрывали API‑ключи и токены доступа.

Группа под руководством Аонана Гуана обнаружила, как злоумышленники могут перехватывать управление ИИ‑агентами, встроенными в GitHub Actions. Они назвали метод Comment and Control. Хакер вписывает команду в текст запроса, агент считывает её и выполняет в среде GitHub Actions. Затем публикует результат, содержащий украденные токены, в виде комментария.

Первой жертвой стал агент Anthropic для поиска уязвимостей в коде. Гуан заметил, что система обрабатывает заголовки pull‑запросов как часть контекста задачи. Он выполнил команду «whoami» и получил ответ в комментарии к безопасности. Затем он смог украсть более чувствительные данные, например ключи API. Anthropic выплатила $100, повысила критичность уязвимости до 9,4 и добавила в документацию предупреждение: инструмент не защищён от инъекций, его можно использовать только для доверенных запросов.

При тестировании агента Google Gemini команда добавила в комментарии к задаче фальшивый раздел «доверенного контента». Так они переопределили инструкции безопасности модели и заставили её опубликовать ключ GEMINI_API_KEY в открытом доступе. Google оценила находку в $1337 и перечислила соавторов в списке благодарностей.

Сложнее всего оказалось взломать GitHub Copilot от Microsoft. У него многоуровневая защита: фильтрация окружения, сетевой экран. Исследователи использовали скрытые HTML‑комментарии, которые человек не видит, но агент читает. Так они передали вредоносные инструкции при назначении задачи. Microsoft сначала назвала проблему известной, но после доказательства концепции выплатила $500.

Ни одна из компаний не раскрыла номера CVE и не выпустила официальных рекомендаций. По словам Гуана, разработчики, использующие уязвимые версии ПО, могут никогда не узнать об угрозе кражи учётных данных.

Читать далее:

Вселенная внутри черной дыры: наблюдения «Уэбба» подтверждают странную гипотезу

Испытания ракеты Starship Илона Маска вновь закончились взрывом в небе

Сразу четыре похожих на Землю планеты нашли у ближайшей одиночной звезды

Обложка: freepik

2
Гаджеты и электроника
5,73 млн интересуются