Heimdallr框架检测GitHub CI工作流中LLM引入的安全风险

来自新加坡国立大学和字节跳动的研究人员发布了Heimdallr，这是一个混合分析框架，用于检测GitHub CI工作流中LLM集成引入的安全风险。该研究描述了一个新的攻击面：外部可控输入（问题评论、拉取请求）可以影响LLM提示和输出，进而影响安全决策、仓库状态或特权执行。Heimdallr在可触发性分类中达到了99.8%的准确率，并在759个仓库中披露了802个易受攻击的工作流实例。

攻击者将精心制作的文本嵌入到GitHub问题评论或拉取请求描述中。当CI工作流将此文本拼接到LLM提示中用于代码审查、分类标记或自动合并决策时，攻击者可以引导模型的推理、操纵生成的输出、通过提示注入泄露机密，或触发意外的特权操作（例如，自动合并恶意代码）。

集成LLM进行自动化任务（如问题分类、拉取请求审查、内容生成或仓库维护）的GitHub CI工作流。研究团队负责任地披露了802个易受攻击的实例，并收到了71份确认。

开发团队应将CI工作流中的LLM输出视为不可信数据，在执行特权操作前需要验证。对外部可控文本实施严格的输入清理，对安全关键决策强制执行人工参与审批，并审计LLM工具使用权限以防止代理调用特权API。Heimdallr框架可供组织用于扫描自己的CI工作流。