三个AI编码因单一提示注入泄露密钥,一家厂商系统卡曾预警
一名安全研究员与约翰斯·霍普金斯大学同事合作,在GitHub拉取请求(PR)标题中输入恶意指令,结果Anthropic的Claude Code安全审查操作将自身的API密钥作为评论发布。同样的提示注入攻击也适用于谷歌的Gemini CLI操作和GitHub的Copilot Agent(微软)。无需外部基础设施支持。
发现该漏洞的研究员关傲楠(Aonan Guan)及其约翰斯·霍普金斯大学同事刘宇舟(Zhengyu Liu)和钟 Gavin(Gavin Zhong)上周发布了完整技术披露,将其命名为“Comment and Control”。GitHub Actions在使用pull_request触发器时默认不向fork的拉取请求暴露密钥,但大多数AI agent集成需要使用pull_request_target来访问密钥,该操作会将密钥注入到运行器环境中。这限制了实际攻击面,但并未完全消除风险:协作者、评论字段以及任何使用pull_request_target且集成AI coding agent的仓库均存在暴露风险。
根据关傲楠的披露时间线:Anthropic将漏洞评为CVSS 9.4严重级别(奖金100美元),谷歌支付了1337美元奖金,GitHub通过Copilot奖金计划奖励了500美元。100美元的奖金相对于CVSS 9.4评级明显偏低;Anthropic的HackerOne计划将agent工具类发现与模型安全漏洞分开评估。截至周六,三家公司均已静默修复漏洞,且未在国家漏洞数据库(NVD)发布CVE,也未通过GitHub安全公告发布安全建议。
“Comment and Control”利用了Claude Code安全审查中的提示注入漏洞,Anthropic自身的系统卡曾承认该功能“未强化防提示注入”。该功能默认设计用于处理可信的第一方输入;选择处理不可信的外部PR和Issue的用户需承担额外风险,并负责限制agent的权限。Anthropic已更新其文档以……
关注微信号:智享开源 关注微博:IMCN开源资讯网 ,可及时获取信息
评论列表
发表评论
为你推荐
[blog_mailer_subscribe]
关注微信
还没有任何评论,你来说两句吧!