Haziran 2025’te GitHub Copilot Chat’te keşfedilen kritik bir zayıflık, özel kaynak kodunu ve sırlarını saldırganların eline geçirdi.
CVSS 9.6 olarak derecelendirilen güvenlik açığı, yeni bir İçerik Güvenliği Politikası bypass’ını uzaktan komut eklemeyle birleştirdi.
Saldırganlar, çekme isteklerine gizli istemler yerleştirerek özel depo verilerini sızdırabilir ve kötü amaçlı kod önerileri veya bağlantıları enjekte etmek de dahil olmak üzere Copilot’un yanıtlarını kontrol edebilir.
Kusurun Arka Planı
GitHub Copilot Chat, doğrudan GitHub’un arayüzüne entegre edilmiş bir yapay zeka asistanıdır. Soruları yanıtlayarak, kodu açıklayarak ve proje bağlamına dayalı uygulamalar önererek geliştiricilere yardımcı olur.
Copilot Chat veri havuzu içeriklerine eriştiği için hassas verileri güvenli bir şekilde işlemelidir. Bağlam ne kadar zengin olursa, potansiyel saldırı yüzeyi de o kadar büyük olur.
Bu örnekte saldırganlar, talimatları normalde zararsız olan bir çekme isteği açıklamasına kaydırmak için Copilot’un bağlam farkındalığından yararlandı.
Görünmez yorumlar ve belgelenmiş bir GitHub özelliği, Copilot’u etkilemeye devam ederken istemlerin insan okuyuculardan gizli kalmasına izin verdi.
Herhangi bir kullanıcı çekme isteğini görüntülediğinde, gizli istem Copilot bağlamına yükleniyor.
Kusuru İstismara Uğramak
Saldırı zinciri, Legit Security tarafından bildirildiği üzere, çekme isteği açıklamasına kötü niyetli bir istem içeren gizli bir yorumun yerleştirilmesiyle başladı.
Bu yorum görünür farkta veya web arayüzünde görünmedi, ancak GitHub yine de onu işledi. Copilot, işlendikten sonra gizli talimatları yükledi ve bunları görüntüleyen kullanıcının izinleriyle yürüttü.


İlk testlerde basit bir “HOORAY” mesajı kullanıldı, ancak araştırmacı kısa sürede tam komut setlerine geçti: AWS_KEY gibi sırlar için özel kod aramak, base16’daki depo dosyalarını kodlamak ve bunları sızmak için resim URL’lerine yerleştirmek.
Varsayılan olarak GitHub’ın İçerik Güvenliği Politikası harici görüntü yüklemelerini engeller. Ancak Markdown oluşturulurken GitHub, Camo proxy’sinden geçecek şekilde üçüncü taraf resim URL’lerini yeniden yazar ve her URL’ye bir HMAC imzası ekler.


Araştırmacı, her alfabe karakteri ve sembolü için önceden bir Kamuflaj URL’leri sözlüğü oluşturdu ve bunu kötü niyetli istemin içine yerleştirdi.
Copilot daha sonra bu sözlükteki görüntü etiketlerini rastgele önbellek bozma parametreleriyle tamamlayarak birleştirerek çalışma zamanında tam sızma URL’lerini yeniden oluşturdu.
Bir kurbanın tarayıcısı bu görüntüleri istediğinde, Camo proxy’si istekleri saldırganın sunucusuna ileterek şeffaf 1×1 piksel boyutunda özel kod sağladı.
Camo proxy bypass’ın bu yaratıcı kullanımı, kullanıcıyı uyarmadan depo içeriğinin sessiz ve sürekli olarak çıkarılmasına olanak sağladı.


Konsept kanıtı, tam kod tabanı hırsızlığını, gizli toplamayı ve kötü amaçlı “Copilotevil” paketlerinin farkında olmayan geliştiricilere teslim edildiğini gösterdi.
Güvenlik açığı raporunun ardından GitHub, Camo bypassını durdurmak için Copilot Chat’te görüntü oluşturmayı tamamen devre dışı bıraktı.
14 Ağustos 2025’te kullanıma sunulan bir yama, Markdown resim etiketlerinin sohbet yanıtlarında işlenmesi özelliğini ortadan kaldırdı.
Bu düzeltme, CSP atlama ve uzaktan komut ekleme vektörünü kapatarak özel depo içeriklerinin gizliliğini geri yükledi.
Geliştiricilerden Copilot Chat entegrasyonlarını güncellemeleri ve olağandışı gizli içeriklere yönelik çekme isteklerini incelemeleri isteniyor. Yapay zeka destekli iş akışlarını yeni ortaya çıkan saldırı tekniklerine karşı korumak için sürekli dikkatli olunması gerekiyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.