GitHub Copilot Chat propust pokazao kako prompt injection može da izvuče tajne podatke
Tekst opisuje ranjivost CVE-2025-59145 u GitHub Copilot Chat alatu, kroz koju su napadači prompt injection tehnikom mogli da izvuku API ključeve, tokene i privatni izvorni kod bez klasičnog izvršavanja zlonamernog koda. Napad, nazvan CamoLeak, oslanjao se na skrivene instrukcije ubačene u pull request, koje bi Copilot pročitao kada bi ga developer zamolio da sažme ili pregleda sadržaj. Prikupljeni podaci zatim su kodirani kroz URL adrese slika i prosleđeni preko GitHub-ovog Camo proxy servisa, pa je saobraćaj spolja izgledao legitimno. GitHub je propust ranije zakrpio tako što je onemogućio prikaz slika unutar Copilot Chat odgovora.
Najveći problem ovde nije u jednom konkretnom alatu, već u obrascu po kome AI sistem čita nepouzdan sadržaj, ima pristup osetljivim podacima i može da ih iznese kroz kanal koji deluje bezazleno. Kako asistenti dobijaju dublji uvid u repozitorijume, dokumenta i interne sisteme, granica između korisne automatizacije i tihog curenja podataka postaje mnogo tanja.
- Ograničiti pristup AI alatima samo na repozitorijume i podatke koji su im zaista potrebni
- Tretirati pull request, issue i sličan sadržaj kao nepouzdan ulaz kada ga obrađuje AI asistent
- Pratiti AI odgovore i spoljne zahteve koje klijent automatski učitava, uključujući slike i druge resurse
- Uvesti interne smernice za prompt injection rizike u razvojnim i enterprise AI okruženjima
- Redovno proveravati bezbednosne ispravke za Copilot i slične alate koji imaju pristup privatnom kodu i tajnama