Николай Чикишев world 16 красавіка 2026, 14:24

ШІ-агенты ў GitHub могуць красці ўліковыя дадзеныя

Навукоўцы выявілі новы тып атакі на ШІ-агентаў, якія працуюць з GitHub Actions, што дазваляе красці API-ключы, токены доступу і іншыя дадзеныя з асяроддзя распрацоўкі.

Пакінуць каментарый

ШІ-агенты ў GitHub могуць красці ўліковыя дадзеныя

Навукоўцы выявілі новы тып атакі на ШІ-агентаў, якія працуюць з GitHub Actions, што дазваляе красці API-ключы, токены доступу і іншыя дадзеныя з асяроддзя распрацоўкі.

Даследчыкі з Універсітэта Джонса Хопкінса паведамляюць, што ўразлівасць закранула як мінімум тры папулярныя інструменты: Claude Code Security Review ад Anthropic, Gemini CLI Action ад Google і GitHub Copilot ад Microsoft.

Кіраўнік даследчай групы Аонан Гуан заявіў: «Я дакладна ведаю, што некаторыя карыстальнікі выкарыстоўваюць замацаваныя ўразлівыя версіі. Калі не публікаваць папярэджанне, гэтыя карыстальнікі могуць ніколі не даведацца, што яны ўразлівыя — ці ўжо знаходзяцца пад атакай».

Сутнасць атакі заключаецца ў тым, што зламыснік укараняе шкодныя інструкцыі проста ў дадзеныя GitHub, напрыклад, у загаловак pull request, апісанне issue або каментары. ШІ-агенты ўспрымаюць гэты тэкст як частку кантэксту задачы, выконваюць каманды і самі публікуюць вынік, у тым адчувальныя дадзеныя.

Першай мэтай стаў Claude Code Security Review — інструмент Anthropic для пошуку ўразлівасцяў у кодзе. Вучоныя вывучылі, як агент апрацоўвае ўваходныя дадзеныя. Даследчыкі ўбудавалі каманду ў загаловак pull request, і агент выканаў яе, вярнуўшы вынік як «знаходку бяспекі».

Пазней даследчыкі даказалі, што тым жа спосабам можна здабываць больш адчувальныя дадзеныя, уключаючы API-ключы і токены доступу. «Загаловак — гэта карысная нагрузка, а каментар бота — месца, дзе з’яўляюцца ўліковыя дадзеныя. Атакуючы піша загаловак і чытае каментар», — патлумачыў Гуан.

Claude уводзіць праверку асобы: патрэбны пашпарт і селфі

Anthropic выплаціла за знаходку $100, павысіла ўзровень крытычнасці ўразлівасці да 9,4 і дадала папярэджанне ў дакументацыю: інструмент «не абаронены ад атак промпт-ін’екцый і павінен выкарыстоўвацца толькі для праверкі давераных pull request».

Пасля гэтага даследчыкі праверылі аналагічную атаку на Google Gemini CLI Action. Там ім удалося абысці абарону, дадаўшы ў каментар падробны блок «давернага кантэнту», які дазволіў перавызначыць правілы бяспекі і раскрыць ключ GEMINI_API_KEY. Google выплаціла за знаходку $1337.

Найбольш складанай мэтай аказаўся GitHub Copilot Agent ад Microsoft, які працуе аўтаномна і мае дадатковыя ўзроўні абароны: фільтрацыю асяроддзя, сканаванне сакрэтаў і сеткавы экран. Тым не менш, паводле словаў Гуана, даследчыкам удалося абысці абарону. Для атакі выкарыстоўваліся схаваныя HTML-каментары, нябачныя карыстальніку. У выніку агент выконваў шкодныя інструкцыі без ведама ахвяры. Microsoft у выніку выплаціла $500.

Даследчыкі назвалі гэты тып атак Comment and Control — па аналогіі з command and control. У адрозненне ад класічных промпт-ін’екцый, дзе карыстальнік сам ініцыюе апрацоўку шкоднага кантэнту, тут атака запускаецца аўтаматычна: «проста адкрыццё pull request або стварэнне задачы можа запусціць ШІ-агента без нейкіх дзеянняў з боку ахвяры».

Паводле Гуана, праблема можа закранаць і іншыя сістэмы: «Microsoft, Google і Anthropic — гэта тры асноўныя гульцы. Мы можам знайсці гэтую ўразлівасць і ў іншых пастаўшчыкоў». Пры гэтым ні адна з кампаній не прысвоіла ўразлівасцям ідэнтыфікатары CVE і не апублікавала афіцыйных папярэджанняў. Даследчык указвае, што нават убудаваныя механізмы абароны не гарантуюць бяспеку: падобныя атакі «у канчатковым выніку ўсё роўна можна абысці».