Los piratas informáticos aprovechan la falla del copiloto de GitHub para filtrar datos confidenciales

Una vulnerabilidad de alta gravedad recientemente revelada en GitHub Copilot Chat permitió a los atacantes desviar silenciosamente datos confidenciales de repositorios privados. Registrada como CVE-2025-59145 con una puntuación CVSS casi perfecta de 9,6, la falla permitió el robo de código fuente, claves API y secretos de la nube sin requerir la ejecución de ningún código malicioso.

Un investigador de seguridad reveló públicamente la vulnerabilidad en octubre de 2025, poco después de que GitHub solucionara el problema en agosto de 2025 deshabilitando la representación de imágenes en Copilot Chat. CamoLeak Attack Chain GitHub Copilot Chat revisa las solicitudes de extracción leyendo descripciones, códigos y archivos de repositorio utilizando los permisos de acceso del desarrollador. CamoLeak utilizó este acceso confiable como arma al ocultar instrucciones maliciosas dentro de la sintaxis invisible de comentarios de rebajas de GitHub. Un desarrollador con acceso a un repositorio privado le pidió a Copilot que revisara las relaciones públicas y, sin saberlo, proporcionó las instrucciones ocultas a la IA.

Si bien CamoLeak era específico de GitHub, la amenaza subyacente se aplica a cualquier asistente de inteligencia artificial con acceso profundo al sistema, como Microsoft 365 Copilot o Google Gemini. La publicación Los piratas informáticos aprovechan la falla del copiloto de GitHub para filtrar datos confidenciales apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗