◈ Intelijen Keamanan AI ← Umpan harian
Kerentanan  ·  2026-04-17

'Comment and Control': Injeksi Prompt via Komentar GitHub Membahayakan Claude Code, Gemini CLI, dan GitHub Copilot

KerentananHigh dampak
Penjelasan teknis
Peneliti keamanan mengungkapkan sebuah kelas serangan injeksi prompt — yang dijuluki 'Comment and Control' — yang membajak agen coding AI yang terintegrasi dengan GitHub Actions. Dengan menyematkan instruksi berbahaya dalam judul PR, isi issue, atau komentar issue (termasuk komentar HTML tersembunyi yang tidak terlihat dalam Markdown yang dirender), penyerang dapat mengarahkan agen AI untuk mengeksfiltrasikan kunci API dan token akses. Ketiga agen coding AI utama — Claude Code Security Review Anthropic, Gemini CLI Action Google, dan GitHub Copilot Microsoft — terbukti rentan. Bug bounty telah dibayarkan ($100 oleh Anthropic, $1,337 oleh Google) tetapi tidak ada satupun vendor yang menugaskan CVE atau menerbitkan penasihat keamanan publik, membiarkan pengguna terjebak pada versi yang rentan tanpa kesadaran.
Vektor serangan
Penyerang dengan akses tulis ke repositori GitHub (atau yang dapat mengirimkan PR) menyematkan muatan injeksi prompt dalam judul PR, isi issue, atau komentar HTML tersembunyi. Ketika agen coding AI memproses konten repositori sebagai bagian dari alur kerja otomatis, agen tersebut menginterpretasikan instruksi yang disuntikkan dan mengeksfiltrasikan rahasia (kunci API, token akses) ke lokasi yang dikendalikan penyerang seperti komentar issue publik atau titik akhir eksternal.
Sistem yang terdampak
Anthropic Claude Code Security Review (GitHub Action), Google Gemini CLI Action, Microsoft GitHub Copilot Agent — semuanya ketika beroperasi dalam alur kerja otomatis GitHub Actions
Mitigasi
Batasi pemicu alur kerja agen AI hanya untuk kontributor terpercaya. Audit alur kerja GitHub Actions untuk integrasi agen AI dan tinjau rahasia apa yang dapat diakses oleh runner tersebut. Pantau pembuatan komentar issue yang anomali oleh aktor otomatis. Sampai patch resmi atau penasihat diterbitkan, pertimbangkan untuk menonaktifkan pemicu tinjauan kode AI otomatis di repositori publik atau dapat diakses kontributor. Periksa halaman changelog dan dokumentasi keamanan vendor masing-masing untuk pembaruan.
Sumber
Aonan Guan — Comment and Control: Prompt Injection to Credential Theft (researcher blog)The Register — Anthropic, Google, Microsoft paid AI bug bounties – quietlySecurityWeek — Claude Code, Gemini CLI, GitHub Copilot Agents Vulnerable to Prompt Injection via CommentsIT Security News — Claude Code, Gemini CLI, GitHub Copilot Agents Vulnerable
Lihat di umpan langsung Jelajahi temuan keamanan dan tata kelola AI terkait — diperbarui setiap pagi.
Buka umpan →