У ИИ-агента GitHub нашлась способность передавать данные из закрытых репозиториев

Читать в полной версии

Исследователи в области кибербезопасности из компании Noma Labs обнаружили на платформе GitHub уязвимость, которой присвоили название GitLost. Работающие на платформе агенты искусственного интеллекта при определённых запросах выдают данные из закрытых репозиториев и публикуют их в виде общедоступных комментариев.

Источник изображения: Rubaitul Azad / unsplash.com

Проблема актуальна для рабочих процессов GitHub Agentic Workflows, которые позволяют ИИ-агентам под управлением Anthropic Claude или GitHub Copilot в автономном режиме выполнять задачи в GitHub Actions. Чтобы воспользоваться уязвимостью, гипотетическому злоумышленнику не нужны навыки программирования или учётные данные для доступа к репозиториям — ему достаточно создать сообщение об ошибке в публичном репозитории, принадлежащем организации, которая пользуется сервисом Agentic Workflow, указать вредоносные команды простым английским языком и просто подождать. Через некоторое время ИИ-агент опубликует необходимые данные в качестве публичного комментария к сообщению об ошибке.

Как в случае с большинством атак с внедрением запросов, преследующих агентов и прочие системы ИИ, закрыть уязвимость исправлением кода не получится. В качестве решения исследователи предложили раскрыть информацию об уязвимости пользователям и рекомендовать им ужесточить политику управления закрытыми данными: доступом ИИ-агентов, репозиториями и ключами API. В качестве примера реализации атаки исследователи Noma Labs создали на платформе публичный и приватный репозитории и в одном из сообщений об ошибке имитировали обращение вице-президента вымышленной компании к своим подчинённым, в котором он, в частности, запросил содержание файлов из закрытого репозитория. ИИ-агент послушно раскрыл запрошенную информацию в качестве публичного комментария.

Эксперты Noma Labs сообщили о проблеме в администрацию GitHub и заявили, что та осведомлена об их намерении раскрыть схему атаки GitLost. Проблема угрожает компаниям, у которых на платформе есть и публичные, и приватные репозитории. «Автономный агент не должен представлять угрозу скрытой утечки данных и раскрытия секретов. Прежде чем отдел безопасности даст разрешение любому автономному агенту, он должен убедиться, что осознаёт все возможные соединения, доступ и пути, вероятный радиус поражения доступа агента и разрешения. Невозможно защитить то, чего не видишь и что не контролируешь», — предупредили в Noma Labs.