В облачной среде разработки GitHub Codespaces был обнаружен серьёзный дефект безопасности, который позволял злоумышленникам получить контроль над репозиториями через искусственный интеллект. Уязвимость получила кодовое имя RoguePilot и уже исправлена компанией Microsoft.
В чём суть проблемы
GitHub Codespaces - это облачная IDE от GitHub, которая запускается прямо из браузера или IDE и автоматически настраивает окружение для разработки на основе содержимого репозитория.
Проблема возникала из интеграции GitHub Copilot в такую среду: когда разработчик открывает Codespace из GitHub Issue, описание Issue автоматически подставляется в Copilot как запрос. Именно этот механизм дали возможность злоумышленникам атаковать систему.
Злоумышленник мог создать GitHub Issue с тщательно замаскированными инструкциями, скрытыми внутри HTML-комментариев (<!--…-->). Когда Copilot обрабатывал это описание, встроенный ИИ выполнял инструкции, не вызывая подозрений у пользователя. В результате тот мог незаметно для себя выполнить произвольные действия, например, направить привилегированный GITHUB_TOKEN на удалённый сервер под контролем атакующего.
Как это использовалось
Атака работала по следующей схеме:
злоумышленник создаёт или модифицирует Issue с вредоносной инструкцией внутри;
разработчик открывает Codespace из этого Issue;
Copilot автоматически получает описание Issue в качестве запроса и интерпретирует скрытый код;
Copilot выполняет инструкции, отправляя важные данные злоумышленнику.
Таким образом, хакер мог получить доступ к секретам разработчика, включая токены, которые позволяют читать и изменять код в репозиториях.
Это не обычная уязвимость - это AI-атака
Эксперты описали RoguePilot как разновидность пассивного или непрямого внедрения запросов (prompt injection): вредоносные команды скрываются в обычном контенте и затем автоматически обрабатываются языковой моделью Copilot, приводя к неожиданным и опасным действиям.
Такой тип уязвимостей также называют AI-посредованной атакой на цепочку поставок, поскольку вредоносные инструкции встраиваются в рабочие процессы разработчиков и могут быть автоматически исполнены через доверенные инструменты.
Как это исправили
Microsoft оперативно выпустила исправление после того, как исследователи из Orca Security сообщили о проблеме. Уязвимость больше не может быть использована в нынешнем виде.
Этот инцидент подчёркивает несколько ключевых моментов:
Интеграция ИИ в инструменты разработки увеличивает поверхность атак. Опасные команды могут не просто появляться в исходном коде, но и в описаниях задач или документации, автоматически обрабатываемых ИИ.
Автоматические процессы разработчика должны учитывать безопасность запросов Copilot и других LLM-ассистентов.
Инцидент RoguePilot ещё раз напоминает о необходимости принципа минимальных привилегий и регулярных проверок конфигураций безопасности в облачных средах.
Если вы активно используете GitHub Codespaces и Copilot, обязательно пересмотрите настройки безопасности и будьте внимательны к источникам, из которых запускаете свои рабочие пространства.
Источник: HN