Исследователи раскрыли, как ИИ-агенты в GitHub грозят кражей учетных данных

Специалисты по кибербезопасности из Университета Джонса Хопкинса успешно атаковали интегрированных в платформу GitHub Actions ИИ-агентов, разработанных Anthropic, Google и Microsoft. Исследовательская группа под руководством Аонана Гуана смогла перехватить управление системами с помощью нового метода внедрения запросов.

Как сообщает портал The Register, атака, получившая название «Comment and Control», позволяет заставить ИИ-агентов, таких как Claude Code Security, Gemini CLI Action и GitHub Copilot, выполнять команды оболочки и раскрывать конфиденциальную информацию. Злоумышленники могут использовать вредоносные инструкции в заголовках и комментариях GitHub для получения API-ключей и токенов доступа.

В ходе эксперимента ученые продемонстрировали возможность получения чувствительных данных. Например, при тестировании агента Google Gemini команда использовала фальшивый раздел «доверенного контента» в комментарии к задаче.

Наиболее защищенным оказался GitHub Copilot от Microsoft, обладающий несколькими уровнями защиты. Для его компрометации исследователи применили скрытые HTML-комментарии, невидимые человеку, чтобы передать вредоносные инструкции в момент назначения задачи. Компании, чьи ИИ-агенты были протестированы, пока не прокомментировали выявленные уязвимости.