技術的な説明
シンガポール国立大学とバイトダンスの研究者らが Heimdallr を発表しました。これは GitHub CI ワークフローにおける LLM 統合によって導入されるセキュリティリスクを検出するハイブリッド分析フレームワークです。この研究は新しい攻撃面を特徴づけています。外部から制御可能な入力(イシュー コメント、プルリクエスト)は LLM プロンプトと出力を形成することができ、それがセキュリティ判定、リポジトリの状態、または特権実行に影響を与える可能性があります。Heimdallr はトリガー可能性分類で 99.8% の精度を達成し、759 のリポジトリにわたる 802 の脆弱なワークフロー インスタンスを開示しました。
攻撃経路
攻撃者は GitHub イシュー コメントまたはプルリクエスト説明に細工されたテキストを埋め込みます。CI ワークフローがこのテキストをコード レビュー、トリアージ ラベリング、または自動マージ判定用の LLM プロンプトに挿入すると、攻撃者はモデルの推論を操作し、生成される出力を操作し、プロンプト インジェクションを通じてシークレットをリークし、または意図しない特権アクション(例:悪意のあるコードの自動マージ)をトリガーできます。
影響を受けるシステム
イシュー トリアージ、プルリクエスト レビュー、コンテンツ生成、またはリポジトリ メンテナンスなどの自動化タスク用に LLM を統合する GitHub CI ワークフロー。研究チームは 802 の脆弱なインスタンスを責任を持って開示し、71 件の謝辞を受け取りました。
緩和策
開発チームは CI ワークフローにおける LLM 出力を、特権アクションの前に検証が必要な信頼できないデータとして扱う必要があります。外部から制御可能なテキストに厳格な入力サニタイズを実装し、セキュリティ上重要な判定には人間が関与するループ承認を強制し、LLM ツール使用権限を監査してエージェントが特権 API を呼び出すことを防いでください。Heimdallr フレームワークは、組織が独自の CI ワークフローをスキャンできるように利用可能です。