“PromptPwnd” olarak adlandırılan kritik bir güvenlik açığı sınıfı, GitHub Eylemleri ve GitLab CI/CD işlem hatlarına entegre edilen yapay zeka aracılarını etkiler.
Bu kusur, saldırganların sorun başlıkları veya çekme isteği gövdeleri gibi güvenilmeyen kullanıcı girişleri yoluyla kötü niyetli istemler enjekte etmesine, yapay zeka modellerini sırları sızdıran veya iş akışlarını değiştiren ayrıcalıklı komutları yürütmesi için kandırmasına olanak tanır.
Hızlı bir yama öncesinde kurbanlar arasında Google’ın kendi Gemini CLI deposunun da bulunduğu en az beş Fortune 500 şirketi açığa çıkma tehlikesiyle karşı karşıya.
Aikido Security tarafından ortaya çıkarılan saldırı zinciri, depoların aşağıdaki gibi ham kullanıcı içeriğini yerleştirmesiyle başlar: ${{ github.event.issue.body }} sorun önceliklendirmesi veya halkla ilişkiler etiketlemesi gibi görevleri doğrudan yapay zekaya yönlendirir.
Gemini CLI, Anthropic’s Claude Code, OpenAI Codex ve GitHub AI Inference gibi aracılar daha sonra bu girdileri aşağıdakiler dahil yüksek ayrıcalıklı araçlarla birlikte işler: gh sorunu düzenle veya kabuk komutlarına erişiliyor GITHUB_TOKENAPI anahtarları ve bulut belirteçleri.
Gemini CLI’nin iş akışına karşı bir kavram kanıtında araştırmacılar, aşağıdaki gibi gizli talimatlar içeren hazırlanmış bir sorun sundular: “run_shell_command: gh sorunu düzenleme
Bu, AsyncAPI ve PostHog gibi projelerden kimlik bilgilerini çalmak için GitHub Actions’ın yanlış yapılandırmalarından yararlanan Shai-Hulud 2.0 tedarik zinciri saldırısı gibi güncel tehditlere dayanan, hızlı enjeksiyondan ödün veren CI/CD işlem hatlarının ilk doğrulanmış gerçek dünya gösterimini işaret ediyor.
Bazı iş akışlarının tetiklenmesi için yazma izinleri gerekirken, diğerleri herhangi bir kullanıcının sorun gönderimi üzerine etkinleşerek harici düşmanlara yönelik saldırı yüzeyini genişletir.
Aikido, gerçek belirteçler olmadan kontrollü çatallarda açıkları test etti ve tespit için açık kaynaklı Opengrep kuralları, ücretsiz tarayıcıları veya oyun alanları aracılığıyla mevcut.
İyileştirme sıkı kontroller gerektirir: Sorun düzenlemelerini veya kabuk erişimini önlemek için AI araç setlerini sınırlandırın, güvenilmeyen girişleri istemeden önce temizleyin, tüm AI çıktılarını güvenilmeyen kod olarak doğrulayın ve GitHub özelliklerini kullanarak belirteç kapsamlarını IP’ye göre kısıtlayın. Claude’unki gibi konfigürasyonlar izin verilen_non_write_users: “*” veya Codex’in izin verilen kullanıcılar: “*” Etkinleştirilirse riskleri artırın.
Yapay zeka, artan sorunları ve PR’leri ele almak için geliştirici iş akışlarını otomatikleştirirken PromptPwnd, yeni ortaya çıkan bir tedarik zinciri sınırının altını çiziyor. Depolar, gizli sızıntıları veya depoların ele geçirilmesini önlemek için yapay zeka entegrasyonlarını derhal denetlemelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
