据 go.theregister.com 报道,安全研究人员已成功劫持了三个集成在 GitHub Actions 中的主流 AI 智能体,并借此窃取了敏感凭据。
该研究团队利用一种新型的“提示词注入”(prompt injection)攻击手段,针对 Anthropic 的 Claude Code Security Review、Google 的 Gemini CLI Action 以及 Microsoft 的 GitHub Copint 展开了攻击。研究人员展示了他们如何通过该手段执行未经授权的命令,并提取 API 密钥和访问令牌。
来自约翰霍普金斯大学研究团队的研究员 Aonan Guan 通过操纵 GitHub Actions 内部的数据流发现了这一漏洞。该攻击的核心在于,这些 AI 智能体在运行过程中会读取 GitHub 的元数据,例如拉取请求(PR)标题和 Issue 评论,并将其作为操作上下文的一部分。
Guan 在接受 The Register 采访时表示:“如果能向 AI 读取的这些数据中注入恶意指令,‘或许我就能夺取智能体的控制权,并随心所欲地进行操作’。”
通过提交一个带有恶意标题的拉取请求,Guan 成功迫使 Claude 智能体通过 Bash 工具执行了 'whoami' 命令,并将结果作为安全发现报告了回来。随后,系统将该命令的输出结果嵌入到了一个公开的拉取请求评论中。
隐形补丁与未公开的风险
尽管研究人员已从 Anthropic、Google 和 Microsoft 获得了漏洞赏金,但这些厂商目前尚未发布公开公告,也未为这些漏洞分配 CVE 编号。Guan 对这种缺乏透明度的做法表示担忧,认为这会让许多用户处于风险之中。
“我非常确定,有些用户仍在使用存在漏洞的版本,”Guan 告诉 The Register。“如果厂商不发布公告,这些用户可能永远不会意识到自己正面临漏洞或攻击的威胁。”
该漏洞很可能还会波及其他集成了 GitHub 的工具,包括 Slack 机器人、Jira 智能体以及利用 GitHub Actions 访问机密信息的部署自动化系统。据 The Register 报道,针对这些尚未公开的漏洞,三大科技巨头均未回应置评请求。