Сегодня 08 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

ИИ-агенты в GitHub могут красть учётные данные, выяснили исследователи

Исследователи безопасности из Университета Джонса Хопкинса (Johns Hopkins University, JHU) успешно осуществили взлом ИИ-агентов Anthropic, Google и Microsoft, интегрированных в платформу GitHub Actions, используя новый тип атаки с внедрением промптов. Несмотря на получение вознаграждений за обнаружение уязвимостей, ни одна из компаний не предоставила комментариев и не раскрыла номера идентификаторов уязвимостей (CVE), оставив многих пользователей в неведении относительно угрозы кражи их учётных данных.

 Источник изображения: AI

Источник изображения: AI

Группа учёных под руководством Аонана Гуана (Aonan Guan) продемонстрировала, как злоумышленники могут перехватывать управление агентами Claude Code Security, Gemini CLI Action и GitHub Copilot. Как сообщает The Register, внедряя вредоносные инструкции в заголовки pull-запросов (PR) или комментарии к задачам, атакующие заставляли ИИ выполнять команды оболочки и раскрывать чувствительные данные, такие как API-ключи и токены доступа. Хотя все три компании признали проблему, выплатив вознаграждение, они ограничились внутренними исправлениями, не опубликовав официальных рекомендаций для широкой аудитории. По словам Гуана, такое решение опасно, так как разработчики, использующие уязвимые версии ПО, могут никогда не узнать о наличии проблем, связанных с безопасностью.

Метод атаки, названный Comment and Control (комментируй и контролируй), эксплуатирует автоматическую обработку данных ИИ-агентами, которые считывают заголовки и комментарии в GitHub. Злоумышленнику достаточно встроить команду в текст запроса, чтобы агент выполнил её в среде GitHub Actions и опубликовал результат, содержащий украденные токены в виде комментария.

Первой мишенью исследователей стал агент от Anthropic, который анализирует код на наличие уязвимостей. Гуан обнаружил, что система обрабатывает заголовки PR как часть контекста задачи, что позволило ему выполнить команду «whoami» и получить ответ в виде комментария к безопасности. После доказательства возможности кражи более чувствительных данных, таких как ключи API, компания выплатила вознаграждение $100 и повысила уровень критичности уязвимости до 9.4, а в документации появилось предупреждение о том, что инструмент не защищён от инъекций и должен использоваться только для доверенных запросов.

При тестировании агента Google Gemini команда применила схожую тактику, добавив фальшивый раздел «доверенного контента» в комментарии к задаче. Это позволило переопределить инструкции безопасности модели и заставить её опубликовать ключ GEMINI_API_KEY в открытом доступе. Google оценила находку в $1337 и указала имена всех соавторов исследования в списке благодарностей.

Наиболее сложной целью оказался автономный ИИ-помощник GitHub Copilot от Microsoft, обладающий многоуровневой системой защиты, включая фильтрацию окружения и сетевой экран. Исследователям пришлось использовать скрытые HTML-комментарии, невидимые для человека, чтобы передать вредоносные инструкции при назначении задачи агенту. Хотя Microsoft изначально назвала проблему известной, однако в итоге выплатила $500 после доказательства концепции.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Первое крупное обновление принесло в Subnautica 2 новые возможности самозащиты, кнопку для спринта и многое другое — подробности патча 1.1 2 ч.
Демоверсия скоростного шутера Hmur от звукорежиссёра Atomic Heart выйдет в сентябре — новый безумный трейлер 3 ч.
В браузер DuckDuckGo встроили блокировщик рекламных видео на YouTube 4 ч.
Более миллиона игроков ответили на зов: 11 bit studios похвасталась продажами безжалостной градостроительной стратегии Frostpunk 2 5 ч.
[Обновлено] Датамайнер раскрыл дату релиза жестокого ролевого боевика Mortal Shell 2 — долго ждать не придётся 5 ч.
ИИ-помощник в «Яндекс Картах» поможет с планированием досуга и активностей 6 ч.
ФБР и Google обезвредили ботнет, в котором работали 2 миллиона смарт-телевизоров 6 ч.
Долой пересветы и тусклые цвета: Google сделает HDR-видео одинаково красивым на разных Android-смартфонах 6 ч.
Apple проиграла суд и не смогла отделаться от статуса «привратника» в Европе 6 ч.
У ИИ-агента GitHub нашлась способность передавать данные из закрытых репозиториев 6 ч.
Представлен стандарт VESA DisplayHDR True Black 1400 для флагманских OLED-дисплеев 60 мин.
ASRock призналась, что юбилейные продукты Taichi никогда не поступят в продажу 2 ч.
Thermaltake представила блок питания, при замене которого не придётся отключать кабели 2 ч.
Китайский зонд добрался до астероида для забора проб — он оказался гораздо меньше ожидаемого 4 ч.
Релиз Kaspersky NGFW 1.2: виртуальные контексты, маршрутизация на основе политик, защита от IP Spoofing и многое другое 5 ч.
Робот-доставщик «Яндекса» врезался в автомобиль и скрылся с места ДТП 6 ч.
Тысяча долларов за литр: Asus выпустила игровой мини-ПК ROG GR70 с Ryzen 9 9955HX3D и RTX 5070 6 ч.
Tesla пустит стартапы на свой завод в Берлине, чтобы они улучшили её аккумуляторы 7 ч.
Patriot выпустила двухканальные комплекты памяти Viper Steel 5 Infinite DDR5-8000 ёмкостью до 96 Гбайт 7 ч.
Слишком далеко, дорого и долго: эксперты раскритиковали мегапроект SK hynix и Samsung по строительству заводов памяти 7 ч.