事件经过
GitHub Copilot 1.372.0 允许通过传递给 fetch_webpage 的文件处理程序 URI 参数进行工作空间文件夹外的文件系统访问,无需用户批准。结合来自恶意文档或网页的间接提示注入,这在无需用户交互的情况下启用工作空间边界外的文件窃取,除了初始文档处理外。CVSS 7.5 高;发布于 2026-06-22。原始研究发表在 blindcyber.com。
影响分析
GitHub Copilot 嵌入在 VS Code 和 JetBrains IDE 中,拥有数百万次安装。此缺陷从提示注入(例如,代码中的恶意注释、精心构造的 README 或通过 Copilot 加载的网页)直接创建了一条具体路径到工作空间外的任意文件读取——SSH 密钥、.env 文件、云凭证文件——无需任何用户批准对话框。它演示了 AI 编码助手可以通过其工具调用表面被武器化为数据窃取工具。
攻击途径
Copilot 处理的不受信任内容(文档、代码注释、网页)中的间接提示注入将文件处理程序 URI 注入 fetch_webpage 工具调用,导致 Copilot 读取并返回工作空间文件夹外的文件。
受影响系统
GitHub Copilot 1.372.0
缓解措施
将 GitHub Copilot 更新至 1.372.0 之后的版本。NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-66389;原始研究:https://blindcyber.com/2025/10/28/copilot-fun/