技术说明
安全研究人员披露了一类提示注入攻击——被称为'评论与控制'——该攻击劫持与GitHub Actions集成的AI编码代理。通过在PR标题、issue正文或issue评论中(包括在渲染的Markdown中不可见的隐藏HTML评论)嵌入恶意指令,攻击者可以重定向AI代理来窃取API密钥和访问令牌。所有三个主要的AI编码代理——Anthropic的Claude Code Security Review、Google的Gemini CLI Action和Microsoft的GitHub Copilot——都被确认存在漏洞。虽然支付了漏洞奖励(Anthropic支付$100,Google支付$1,337),但没有任何供应商分配CVE或发布公开安全公告,使用户在不知情的情况下仍使用易受攻击的版本。
攻击途径
拥有GitHub仓库写入权限(或能够提交PR)的攻击者在PR标题、issue正文或不可见的HTML评论中嵌入提示注入载荷。当AI编码代理在自动化工作流程中处理仓库内容时,它会解释注入的指令并将机密信息(API密钥、访问令牌)泄露到攻击者控制的位置,如公共issue评论或外部端点。
受影响系统
Anthropic Claude Code Security Review(GitHub Action)、Google Gemini CLI Action、Microsoft GitHub Copilot Agent——均在GitHub Actions自动化工作流程中运行时受影响
缓解措施
将AI代理工作流程触发器限制为仅受信任的贡献者。审计GitHub Actions工作流程中的AI代理集成,并检查这些运行器可访问哪些机密信息。监控自动化行为者创建的异常issue评论。在官方补丁或公告发布之前,考虑在公共或贡献者可访问的仓库上禁用自动化AI代码审查触发器。查看相应供应商的变更日志和安全文档页面获取更新信息。