Токен на блюдечке. Как архитектурная ошибка в GitHub позволила угонять проекты через встроенный чат
NewsMakerИногда излишнее удобство ведёт к катастрофическим последствиям.
В работе GitHub Codespaces выявили уязвимость , которая позволяла перехватывать доступ к репозиториям через встроенный ИИ-ассистент Copilot. Проблема получила название RoguePilot и затронула связку облачной среды разработки и механизмов обработки запросов, формируемых на основе содержимого задач в GitHub.
О находке сообщила компания Orca Security. Суть атаки заключается в скрытом внедрении вредоносных инструкций в описание GitHub issue. Когда разработчик запускает Codespace прямо из такой задачи, Copilot автоматически получает её текст как входные данные для генерации ответа. Вредоносный фрагмент обрабатывается ИИ без видимых признаков компрометации.
Специалисты называют этот сценарий примером косвенной инъекции подсказки , когда вредоносная команда маскируется внутри контента, который анализирует языковая модель. В результате ассистент начинает выполнять действия, на которые его изначально не настраивали. По оценке авторов отчёта, речь идёт о варианте атаки на цепочку поставок, где посредником становится ИИ, а триггером — доверенный рабочий процесс.
Особенность RoguePilot связана с тем, что Codespaces можно запускать из разных точек, включая шаблоны, коммиты, pull request и задачи. Критическая ситуация возникает именно при старте среды из issue. В этом случае Copilot автоматически использует описание задачи как подсказку. Злоумышленник может спрятать инструкции внутри HTML-комментария, который не отображается в интерфейсе, но обрабатывается системой.
Подготовленная таким образом команда заставляет Copilot выполнить цепочку действий, включая переключение на специально созданный pull request. В нём размещается символическая ссылка на внутренний файл. Ассистент считывает его содержимое и через удалённую JSON-схему передаёт привилегированный GITHUB_TOKEN на внешний сервер. Таким образом атакующий получает возможность управлять репозиторием. По оценке исследователей, это вариант атаки на цепочку поставок , где посредником выступает ИИ.
После раскрытия деталей Microsoft внесла изменения в обработку входных данных и поведение Copilot в Codespaces, чтобы исключить подобные манипуляции. По данным Orca Security, эксплуатация не требовала активных действий со стороны жертвы, кроме запуска Codespace из заражённой задачи. Это повышало риск, поскольку сценарий укладывался в привычную модель работы разработчиков.
В работе GitHub Codespaces выявили уязвимость , которая позволяла перехватывать доступ к репозиториям через встроенный ИИ-ассистент Copilot. Проблема получила название RoguePilot и затронула связку облачной среды разработки и механизмов обработки запросов, формируемых на основе содержимого задач в GitHub.
О находке сообщила компания Orca Security. Суть атаки заключается в скрытом внедрении вредоносных инструкций в описание GitHub issue. Когда разработчик запускает Codespace прямо из такой задачи, Copilot автоматически получает её текст как входные данные для генерации ответа. Вредоносный фрагмент обрабатывается ИИ без видимых признаков компрометации.
Специалисты называют этот сценарий примером косвенной инъекции подсказки , когда вредоносная команда маскируется внутри контента, который анализирует языковая модель. В результате ассистент начинает выполнять действия, на которые его изначально не настраивали. По оценке авторов отчёта, речь идёт о варианте атаки на цепочку поставок, где посредником становится ИИ, а триггером — доверенный рабочий процесс.
Особенность RoguePilot связана с тем, что Codespaces можно запускать из разных точек, включая шаблоны, коммиты, pull request и задачи. Критическая ситуация возникает именно при старте среды из issue. В этом случае Copilot автоматически использует описание задачи как подсказку. Злоумышленник может спрятать инструкции внутри HTML-комментария, который не отображается в интерфейсе, но обрабатывается системой.
Подготовленная таким образом команда заставляет Copilot выполнить цепочку действий, включая переключение на специально созданный pull request. В нём размещается символическая ссылка на внутренний файл. Ассистент считывает его содержимое и через удалённую JSON-схему передаёт привилегированный GITHUB_TOKEN на внешний сервер. Таким образом атакующий получает возможность управлять репозиторием. По оценке исследователей, это вариант атаки на цепочку поставок , где посредником выступает ИИ.
После раскрытия деталей Microsoft внесла изменения в обработку входных данных и поведение Copilot в Codespaces, чтобы исключить подобные манипуляции. По данным Orca Security, эксплуатация не требовала активных действий со стороны жертвы, кроме запуска Codespace из заражённой задачи. Это повышало риск, поскольку сценарий укладывался в привычную модель работы разработчиков.