HackerNews

HackerNews
严重漏洞暴露 GitHub Agentic Workflows 面临提示注入风险

严重漏洞暴露 GitHub Agentic Workflows 面临提示注入风险

给文章评分:

Noma Labs 警告称,GitHub Agentic Workflows 中存在一个严重的提示注入漏洞,可能允许未经认证的攻击者泄露私有仓库数据。
GitHub Agentic Workflows 允许用户使用 markdown 文件以自然语言编写工作流,AI 代理会将这些文件作为 GitHub Actions 使用,从而实现与代码仓库交互的自动化。
由于这个名为 GitLost 的安全缺陷,未经认证的攻击者可以将间接提示隐藏在精心构造的 GitHub Issue 中,这些 Issue 发布在同时维护私有仓库的组织的公共仓库上,而 AI 代理会遵循这些指令。
Noma Labs 发现,一个 GitHub Agentic Workflow 被配置为在 issues.assigned 事件上触发,读取 GitHub Issue 的标题和正文,并发布评论作为响应。
该公司表示,该工作流对该组织维护的公共和私有仓库均具有读取权限。
Noma 解释道:"要利用此漏洞,攻击者不需要编码技能、访问权限或凭据。所需要的只是在使用 GitHub Agentic Workflow 设置的组织所属的公共仓库中打开一个 Issue,然后等待。"
该网络安全公司确认,一个包含看似来自销售领导层的合理请求的精心构造的 GitHub Issue,可用于指示代理获取公共和私有仓库中 Readme.md 文件的内容,并将其作为公开评论发布。
虽然 GitHub 设有防护措施来防止此类攻击,但这些保护措施失效了,因为安全研究人员测试了带有变体的技术,最终通过添加关键词"additionally"触发了该行为。
Noma 表示,对于 AI 代理而言,间接提示注入相当于 Web 应用程序中的 SQL 注入,需要系统性的防御策略。
Noma 指出:"GitLost 完美地说明了每个组织在使用 AI 代理系统时面临的根本性安全挑战之一。代理的上下文窗口同时也是其攻击面。代理读取的任何内容——无论是 Issue、pull request、评论还是文件——如果代理将该内容视为指令性输入,都可能被武器化。"
该网络安全公司已负责任地向 GitHub 披露了其发现,并建议组织将所有用户控制的内容视为不可信,将代理权限限制在最低必要范围,限制代理可以公开发布的内容,并在用户输入传递给 AI 代理之前对其进行清理。


消息来源:securityweek.com
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
分享到:
hackernews

hackernews

该作者暂无简介