GitHub Copilot Chat’te CVSS ölçeğinde 9,6 olarak derecelendirilen kritik bir güvenlik açığı, saldırganların özel depolardan kaynak kodunu ve sırları sessizce sızdırmasına olanak tanımış olabilir.
Açıktan yararlanma, yeni bir istem enjeksiyon tekniğini GitHub’un İçerik Güvenliği Politikası’nın (CSP) akıllıca atlanmasıyla birleştirerek saldırgana, kötü amaçlı kod veya bağlantılar önerme yeteneği de dahil olmak üzere kurbanın Copilot örneği üzerinde önemli bir kontrol sağlıyor. Güvenlik açığı HackerOne aracılığıyla sorumlu bir şekilde bildirildi ve GitHub o zamandan beri sorunu düzeltti.
GitHub Yardımcı Pilot Güvenlik Açığı
Saldırı, GitHub Copilot’un bağlama duyarlı doğasından yararlanılarak başladı. Yapay zeka asistanı, ilgili yanıtları sağlamak için kod ve çekme istekleri gibi bir depodaki bilgileri kullanacak şekilde tasarlanmıştır.
Legit Security araştırmacıları, GitHub’un “görünmez yorumlar” özelliğini kullanarak kötü niyetli bir istemi doğrudan bir çekme isteği açıklamasına yerleştirebileceklerini keşfettiler.
Yorumun kendisi kullanıcı arayüzünde gizlense de, Copilot yine de yorumun içeriğini işleyecektir. Bu, bir saldırganın gizli kötü amaçlı bir istem içeren bir çekme isteği oluşturabileceği ve daha sonra bu çekme isteğini analiz etmek için Copilot’u kullanan herhangi bir geliştiricinin oturumunun tehlikeye gireceği anlamına geliyordu.
Copilot, istekte bulunan kullanıcının izinleriyle çalıştığından, enjekte edilen komut, yapay zekaya kurbanın özel depolarındaki verilere erişmesi ve bu verileri işlemesi için komut verebilir.
URL Sözlüğüyle Güvenliği Atlamak
Saldırganın önündeki en büyük engel GitHub’un yapay zekanın harici alanlara veri sızdırmasını önleyen katı İçerik Güvenliği Politikasıydı (CSP).
GitHub, üçüncü taraf sitelerden görüntüleri güvenli bir şekilde işlemek için Camo adlı bir proxy hizmetini kullanıyor. Camo, harici resim URL’lerini imzalı olarak yeniden yazar camo.githubusercontent.com bağlantılar ve yalnızca GitHub tarafından oluşturulan geçerli imzaya sahip URL’ler işlenir.
Bu, saldırganların yalnızca bir
Her harf ve sembol için geçerli Kamuflaj URL’lerinden oluşan bir sözlük önceden oluşturdular. Yasal bir Güvenlik raporuna göre her URL, kontrol ettikleri bir sunucudaki 1×1 şeffaf piksele işaret ediyordu.
En son enjekte edilen istem, Copilot’a kurbanın özel deposundaki AWS anahtarı veya sıfır gün güvenlik açığı açıklaması gibi hassas bilgileri bulması talimatını verdi.
Daha sonra bu bilgiyi, önceden oluşturulmuş Kamuflaj URL sözlüğünü kullanarak bir dizi görünmez resim olarak “çizecektir”.
Kurbanın tarayıcısı bu görüntüleri oluşturduğunda, saldırganın sunucusuna bir dizi istek göndererek hassas verileri her seferinde bir karakter olmak üzere etkili bir şekilde sızdırdı.
Kavram kanıtı, kodun özel bir depodan başarılı bir şekilde sızdırıldığını gösterdi. Açıklamaya yanıt olarak GitHub, 14 Ağustos 2025’te Copilot Chat özelliğindeki tüm görüntü oluşturmayı tamamen devre dışı bırakarak saldırı vektörünü etkisiz hale getirerek güvenlik açığını giderdi.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
