HackerNews 编译,转载请注明出处:
网络安全公司 Aikido Security 披露了一类新型提示注入漏洞,代号 “PromptPwnd”。该漏洞影响集成了 AI 代理的 GitHub Actions 和 GitLab CI/CD 流水线,涉及谷歌 Gemini CLI、Claude Code、OpenAI Codex 等主流 AI 工具。目前已确认至少 5 家《财富》500 强企业受此影响,相关证据表明该漏洞存在广泛传播风险。
作为首个发现并披露该漏洞模式的机构,Aikido Security 已开源 Opengrep 检测规则,助力安全厂商快速识别漏洞。这是业界首次证实 AI 提示注入攻击成功攻陷 CI/CD 流水线的真实案例,标志着此类攻击已从理论走向实际威胁。
漏洞根源在于软件开发流程中 AI 工具的广泛应用 —— 当前许多团队使用 AI 代理实现问题自动分类、拉取请求标签标注等自动化任务,但未对输入数据进行严格校验。具体攻击路径如下:
- 输入注入:攻击者在 GitHub 议题标题、正文等不可信来源中嵌入恶意指令;
- Prompt 污染:CI/CD 流水线将这些未经验证的用户输入直接传入 AI 提示词;
- 指令误判:AI 模型将恶意指令误认为合法操作命令,而非普通数据;
- 特权执行:AI 通过集成工具执行未授权操作,包括编辑拉取请求、窃取敏感凭证(如 API 密钥、令牌)等核心资产。
Aikido Security 在谷歌官方 Gemini CLI 代码仓库中发现了该漏洞的典型应用场景:其工作流将 GitHub 议题中的不可信用户输入直接传入 AI 模型提示词。
研究人员通过提交包含隐藏指令的恶意议题完成概念验证(PoC):AI 代理解析恶意指令后,执行了编辑该议题的命令,将敏感 API 密钥和令牌直接嵌入议题正文,导致核心凭证泄露。在 Aikido 遵循负责任披露原则通报后,谷歌于 4 天内完成漏洞修复。
该漏洞并非单一 AI 代理专属问题。研究发现,众多 AI 驱动的 GitHub Actions(包括 Claude Code Actions、OpenAI Codex Actions)均存在类似架构设计缺陷,尤其当安全配置不当(如允许非特权用户触发工作流)时,漏洞利用风险显著提升。
为防范 “PromptPwnd” 漏洞,Aikido Security 提出以下核心修复措施:
- 限制 AI 工具权限:禁用 AI 代理的高危操作权限,避免其具备编辑议题、拉取请求等写入权限;
- 严格校验输入:禁止将不可信用户输入直接注入 AI 提示词;若无法避免,需进行数据清洗与全面验证;
- ** treating AI 输出为不可信 **:将 AI 生成的所有输出视为未经验证的代码,未经校验不得执行;
- 强化凭证保护:通过 IP 地址限制 GitHub 令牌的访问范围,降低凭证泄露后的风险扩散;
- 主动漏洞扫描:使用 Aikido 提供的免费扫描工具或开源工具,检测 GitHub/GitLab 仓库的.yml 配置文件中是否存在相关漏洞。
消息来源:cybersecuritynews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
