Николай Чикишев world 16 апреля 2026, 14:24

ИИ-агенты в GitHub могут красть учётные данные

Ученые обнаружили новый тип атаки на ИИ-агентов, работающих с GitHub Actions, который позволяет красть API-ключи, токены доступа и другие данные из среды разработки.

Оставить комментарий

ИИ-агенты в GitHub могут красть учётные данные

Ученые обнаружили новый тип атаки на ИИ-агентов, работающих с GitHub Actions, который позволяет красть API-ключи, токены доступа и другие данные из среды разработки.

Исследователи из Университета Джонса Хопкинса сообщают, что уязвимость затронула как минимум три популярных инструмента: Claude Code Security Review от Anthropic, Gemini CLI Action от Google и GitHub Copilot от Microsoft.

Руководитель исследовательской группы Аонан Гуан заявил: «Я точно знаю, что некоторые пользователи используют закрепленные уязвимые версии. Если не публиковать предупреждение, эти пользователи могут никогда не узнать, что они уязвимы — или уже находятся под атакой».

Суть атаки заключается в том, что злоумышленник внедряет вредоносные инструкции прямо в данные GitHub, например, в заголовок pull request, описание issue или комментарии. ИИ-агенты воспринимают этот текст как часть контекста задачи, выполняют команды и сами публикуют результат, включая чувствительные данные.

Первой целью стал Claude Code Security Review — инструмент Anthropic для поиска уязвимостей в коде. Ученые изучили, как агент обрабатывает входящие данные. Исследователи встроили команду в заголовок pull request, и агент выполнил ее, вернув результат как «находку безопасности».

Позже исследователи доказали, что тем же способом можно извлекать более чувствительные данные, включая API-ключи и токены доступа. «Заголовок — это полезная нагрузка, а комментарий бота — место, где появляются учетные данные. Атакующий пишет заголовок и читает комментарий», — объяснил Гуан.

Claude вводит проверку личности: нужен паспорт и селфи

Anthropic выплатила за находку $100, повысила уровень критичности уязвимости до 9,4 и добавила предупреждение в документацию: инструмент «не защищен от атак промпт-инъекций и должен использоваться только для проверки доверенных pull request».

После этого исследователи проверили аналогичную атаку на Google Gemini CLI Action. Там им удалось обойти защиту, добавив в комментарий поддельный блок «доверенного контента», который позволил переопределить правила безопасности и раскрыть ключ GEMINI_API_KEY. Google выплатила за находку $1337.

Наиболее сложной целью оказался GitHub Copilot Agent от Microsoft, который работает автономно и имеет дополнительные уровни защиты: фильтрацию окружения, сканирование секретов и сетевой экран. Тем не менее, по словам Гуана, исследователям удалось обойти защиту. Для атаки использовались скрытые HTML-комментарии, невидимые пользователю. В результате агент выполнял вредоносные инструкции без ведома жертвы. Microsoft в итоге выплатила $500.

Исследователи назвали этот тип атак Comment and Control — по аналогии с command and control. В отличие от классических промпт-инъекций, где пользователь сам инициирует обработку вредоносного контента, здесь атака запускается автоматически: «просто открытие pull request или создание задачи может запустить ИИ-агента без каких-либо действий со стороны жертвы».

По словам Гуана, проблема может затрагивать и другие системы: «Microsoft, Google и Anthropic — это три основных игрока. Мы можем найти эту уязвимость и у других поставщиков». При этом ни одна из компаний не присвоила уязвимостям идентификаторы CVE и не опубликовала официальных предупреждений. Исследователь указывывает, что даже встроенные механизмы защиты не гарантируют безопасность: подобные атаки «в конечном итоге все равно можно обойти».