Claude Code, Gemini CLI y GitHub Copilot son vulnerables a la inyección rápida a través de comentarios de comentarios de GitHub

Una clase de vulnerabilidad crítica entre proveedores denominada "Comentario y control" es una nueva categoría de ataques de inyección rápida que utiliza títulos de solicitudes de extracción de GitHub, cuerpos de problemas y comentarios de problemas para secuestrar agentes de codificación de IA y robar claves API y tokens de acceso directamente desde entornos CI/CD. Se confirmó que tres agentes de IA ampliamente implementados, Claude Code Security Review de Anthropic, Gemini CLI Action de Google y GitHub Copilot Agent (SWE Agent), eran vulnerables.

Según el investigador Aonan Guan, todo el ciclo de ataque se ejecuta dentro del propio GitHub: un atacante escribe un título de relaciones públicas o un comentario de problema malicioso, el agente de IA lo lee y lo procesa como contexto confiable, ejecuta instrucciones proporcionadas por el atacante y extrae credenciales a través de un comentario de relaciones públicas, un comentario de problema o una confirmación de git, sin necesidad de un servidor externo. A diferencia de la inyección de aviso indirecta clásica, que es reactiva y requiere que la víctima solicite explícitamente a la IA que procese un documento, Comentarios y Control es proactivo: los flujos de trabajo de GitHub Actions se activan automáticamente en eventos pull_request, issues y issues_comment, lo que significa que simplemente abrir un PR o presentar un problema puede activar al agente sin ninguna interacción de la víctima. Hallazgo 1: Revisión de seguridad del Código Claude: Título de relaciones públicas para RCE En la acción Revisión de seguridad del Código Claude de Anthropic, el título de relaciones públicas se interpola directamente en el mensaje del agente sin desinfección. Hallazgo 2: Acción CLI de Gemini: comentario del problema sobre fuga de clave API La acción CLI Gemini de Google incluye títulos, cuerpos y comentarios de los problemas en el contexto del mensaje del agente en una sección de "Contenido adicional".

ComponenteSuperficie de inyecciónCanal de filtraciónCredenciales filtradasRecompensaCódigo ClaudeTítulo PRComentario PRANTHROPIC_API_KEY, GITHUB_TOKEN$100Gemini CLIComentarios del problemaComentario del problemaGEMINI_API_KEY$1,337Agente CopilotCuerpo del problema (comentario HTML)Git commitGITHUB_TOKEN, COPILOT_API_TOKEN, +2 más$500 Las tres vulnerabilidades comparten el mismo defecto arquitectónico: los datos de GitHub que no son de confianza fluyen hacia un agente de inteligencia artificial que guarda secretos de producción y acceso ilimitado a herramientas en el mismo tiempo de ejecución. La publicación Claude Code, Gemini CLI y GitHub Copilot vulnerables a la inyección rápida a través de comentarios de GitHub apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗