AI agenti na GitHub Actions ranjivi na prompt injection kroz komentare
SecurityWeek prenosi nalaz istraživača Aonana Guana o napadu koji je nazvao Comment and Control, a koji pogađa Anthropic Claude Code Security Review, Google Gemini CLI Action i GitHub Copilot Agent. Napad koristi nepoverljive GitHub podatke, kao što su naslov pull requesta, issue komentari i telo prijave, da prevari AI agenta da izvrši komande, izvuče tokene i vrati ih kroz komentare ili logove. Problem nije vezan za jednog vendora ili jednu grešku u kodu, već za obrazac u kome agent u istom okruženju obrađuje spoljne unose, koristi moćne alate i ima pristup tajnama.
Nezgodno je to što komentar, naslov ili skriveni HTML deo mogu postati ulaz za napad bez klasičnog eksploita u pozadini. Kada AI agent dobije i bash, i pristup repozitorijumu, i tokene, a pritom čita sadržaj koji dolazi od spolja, granica između automatizacije i kompromitacije postaje vrlo tanka.
- Ne davati AI agentima više alata i privilegija nego što im stvarno treba za zadatak
- Odvojiti nepoverljiv ulaz od okruženja u kome se nalaze produkcijske tajne i tokeni
- Koristiti allow-list pristup za alate, mrežne izlaze i dostupne tajne umesto oslanjanja na blokade
- Pregledati GitHub Actions tokove koji čitaju issue komentare, PR naslove i druge spoljne unose
- Pratiti verzije i preporuke vendora za Claude Code, Gemini CLI i Copilot Agent