Сегодня 09 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

ИИ-агенты в GitHub могут красть учётные данные, выяснили исследователи

Исследователи безопасности из Университета Джонса Хопкинса (Johns Hopkins University, JHU) успешно осуществили взлом ИИ-агентов Anthropic, Google и Microsoft, интегрированных в платформу GitHub Actions, используя новый тип атаки с внедрением промптов. Несмотря на получение вознаграждений за обнаружение уязвимостей, ни одна из компаний не предоставила комментариев и не раскрыла номера идентификаторов уязвимостей (CVE), оставив многих пользователей в неведении относительно угрозы кражи их учётных данных.

 Источник изображения: AI

Источник изображения: AI

Группа учёных под руководством Аонана Гуана (Aonan Guan) продемонстрировала, как злоумышленники могут перехватывать управление агентами Claude Code Security, Gemini CLI Action и GitHub Copilot. Как сообщает The Register, внедряя вредоносные инструкции в заголовки pull-запросов (PR) или комментарии к задачам, атакующие заставляли ИИ выполнять команды оболочки и раскрывать чувствительные данные, такие как API-ключи и токены доступа. Хотя все три компании признали проблему, выплатив вознаграждение, они ограничились внутренними исправлениями, не опубликовав официальных рекомендаций для широкой аудитории. По словам Гуана, такое решение опасно, так как разработчики, использующие уязвимые версии ПО, могут никогда не узнать о наличии проблем, связанных с безопасностью.

Метод атаки, названный Comment and Control (комментируй и контролируй), эксплуатирует автоматическую обработку данных ИИ-агентами, которые считывают заголовки и комментарии в GitHub. Злоумышленнику достаточно встроить команду в текст запроса, чтобы агент выполнил её в среде GitHub Actions и опубликовал результат, содержащий украденные токены в виде комментария.

Первой мишенью исследователей стал агент от Anthropic, который анализирует код на наличие уязвимостей. Гуан обнаружил, что система обрабатывает заголовки PR как часть контекста задачи, что позволило ему выполнить команду «whoami» и получить ответ в виде комментария к безопасности. После доказательства возможности кражи более чувствительных данных, таких как ключи API, компания выплатила вознаграждение $100 и повысила уровень критичности уязвимости до 9.4, а в документации появилось предупреждение о том, что инструмент не защищён от инъекций и должен использоваться только для доверенных запросов.

При тестировании агента Google Gemini команда применила схожую тактику, добавив фальшивый раздел «доверенного контента» в комментарии к задаче. Это позволило переопределить инструкции безопасности модели и заставить её опубликовать ключ GEMINI_API_KEY в открытом доступе. Google оценила находку в $1337 и указала имена всех соавторов исследования в списке благодарностей.

Наиболее сложной целью оказался автономный ИИ-помощник GitHub Copilot от Microsoft, обладающий многоуровневой системой защиты, включая фильтрацию окружения и сетевой экран. Исследователям пришлось использовать скрытые HTML-комментарии, невидимые для человека, чтобы передать вредоносные инструкции при назначении задачи агенту. Хотя Microsoft изначально назвала проблему известной, однако в итоге выплатила $500 после доказательства концепции.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Разработчики Slopfix предложили очищать «раздутый» ИИ-код своими ИИ-агентами за $10 000 в неделю 3 ч.
Google и Microsoft ускорили работу буфера обмена в своих браузерах 4 ч.
Система модерации на основе ИИ сервиса Discord ошибочно заблокировала более 8000 безобидных аккаунтов 5 ч.
В «Google Фото» появился ИИ-видеоредактор Video Remix на базе Gemini Omni 9 ч.
«Яндекс» открыл всем водителям карту очередей на заправках в России 9 ч.
Google назвала дату окончательного отключения старых расширений Chrome — под удар попадут и блокировщики рекламы 9 ч.
OpenAI научила ChatGPT слушать, думать и говорить одновременно — представлены модели GPT-Live 10 ч.
Настольная Google Earth Pro скоро пополнит кладбище Google — но веб- и мобильная версии пока останутся 10 ч.
Obsidian отменила Avowed 2 ради новой Fallout под руководством режиссёра Fallout: New Vegas 10 ч.
SpaceXAI выпустила мощную ИИ-модель Grok 4.5 — она тратит токены вдвое экономнее конкурентов и заточена на программирование 10 ч.
Соглашение между Илоном Маском и SEC по делу о покупке Twitter утверждено федеральным судьёй США 2 ч.
Blue Origin оценила себя в $130 млрд по итогам первого внешнего раунда финансирования 4 ч.
SambaNova завершила первый этап раунда финансирования на $1 млрд с оценкой в $11 млрд 8 ч.
Новая статья: Обзор робота-газонокосилки Dreame Roboticmower A1 Pro 2000: когда на дачу приезжаешь только отдыхать 9 ч.
IBM представила компактные мейнфреймы z17 и LinuxONE 5 — всего от $165 тыс. 9 ч.
Складной смартфон Samsung Galaxy Z Fold 8 Ultra показался на рендерах в преддверии анонса 10 ч.
Представлен стандарт VESA DisplayHDR True Black 1400 для флагманских OLED-дисплеев 12 ч.
ASRock призналась, что юбилейные продукты Taichi никогда не поступят в продажу 12 ч.
Thermaltake представила блок питания, при замене которого не придётся отключать кабели 12 ч.
Китайский зонд добрался до астероида для забора проб — он оказался гораздо меньше ожидаемого 14 ч.