事件经过
在Eclipse Theia版本1.71.0之前(CVSS 8.4高,发布于NVD 2026年6月18日),AI聊天代理处理工作区文件和目录名称作为其提示上下文的一部分,而不将其与系统指令区分开。攻击者可以制造一个恶意存储库,具有对抗性目录或文件名,当存储库被打开并由Theia AI代理分析时,将攻击者控制的指令注入到模型的上下文中——通过文件系统的经典间接提示注入。
影响分析
这是一个基于存储库的提示注入攻击:开发人员克隆恶意回购,在Theia中打开它,AI代理的系统提示被对抗性文件名无声地毒化。然后代理可能泄露代码、执行恶意工具调用或提供误导性指导——所有这些都没有对开发人员的任何可见警告。结合Theia的AI工具调用能力,这可能实现代码执行或数据泄露。
攻击途径
攻击者制造一个具有包含提示注入有效负载的文件或目录名称的存储库。当开发人员在Eclipse Theia中打开存储库并使用AI聊天代理(其包括工作区文件名称在其上下文中)时,注入的指令作为可信系统指导被处理。
受影响系统
Eclipse Theia < 1.71.0
缓解措施
升级到Eclipse Theia 1.71.0或更高版本。参见CVE分配:https://gitlab.eclipse.org/security/cve-assignment/-/work_items/113