Исследователи безопасности из Noma Security обнаружили критическую уязвимость в GitHub Copilot Workspace, позволяющую злоумышленникам извлекать содержимое приватных репозиториев. Используя технику промпт-инъекций, эксперты заставили ИИ-агента игнорировать инструкции безопасности и передавать конфиденциальные файлы на внешний сервер, что ставит под угрозу защиту интеллектуальной собственности в облачных средах разработки.

Атака, получившая название GitLost, эксплуатирует доверие системы к контексту, который агент получает из репозитория. В ходе эксперимента исследователи создали вредоносный файл, содержащий скрытые команды для ИИ. Когда агент GitHub Copilot Workspace начинал индексировать проект для выполнения задачи, он интерпретировал эти команды как легитимные инструкции, что приводило к несанкционированному доступу к закрытым данным.

Данный инцидент подчеркивает риски, связанные с интеграцией автономных ИИ-агентов в рабочие процессы разработки. Поскольку агенты имеют доступ к широкому контексту проекта, любые манипуляции с содержимым репозитория могут привести к обходу встроенных механизмов контроля доступа. Разработчикам рекомендуется ограничивать права доступа ИИ-инструментов и проводить аудит кода, который может быть интерпретирован как управляющая инструкция для моделей.

Ключевые факты

  • Исследователи Noma Security продемонстрировали возможность кражи данных из приватных репозиториев через GitHub Copilot Workspace.
  • Вектор атаки основан на промпт-инъекции: вредоносные инструкции внедряются в файлы проекта, которые считывает ИИ.
  • Агент GitHub был обманут и передал содержимое файлов на сторонний сервер, контролируемый исследователями.
  • Уязвимость позволяет обходить логические ограничения безопасности, так как агент считает инструкции внутри репозитория частью рабочего задания.
  • GitHub уже уведомлен об обнаруженной проблеме и работает над усилением защиты контекстного окна агента.