GitHub Issues zloupotrebljen u Copilot napadu koji vodi do preuzimanja repozitorijuma
Istraživači su pokazali kako se GitHub Issues može zloupotrebiti u kombinaciji sa Copilot funkcionalnostima, što u određenim scenarijima može dovesti do kompromitacije i preuzimanja repozitorijuma. Napad koristi poverenje u automatizovane predloge i integracije unutar razvojnih tokova.
Pojašnjenje
Integracija AI alata u razvojne procese uvodi nove napadne površine, posebno tamo gde se automatizacija oslanja na sadržaj iz javnih izvora.
Preporuke
- Ograniči automatizovane akcije koje se pokreću na osnovu sadržaja iz GitHub Issues.
- Uvedi obaveznu manuelnu reviziju pre izvršavanja skripti i workflow-a.
- Prati i ograniči privilegije tokena i CI/CD integracija.