"Comment and Control" aanval gebruikt GitHub-comments tegen AI-agents

[Captain Kirk]

AI-agents op GitHub kunnen via GitHub-comments worden overgenomen, zo melden onderzoekers in een blog post. De onderzoekers waarschuwen dat de aanval, die ze 'Comment and Control' noemen, kan worden gebruikt om API-keys en access tokens van de host repository te stelen. De aanval is getest tegen drie AI-agents: Anthropic Claude Code, Google Gemini en GitHub Copilot.

 

De onderzoekers stellen dat de AI-agents kunnen worden overgenomen via speciaal geprepareerde GitHub-comments, waaronder PR ("Pull Request") titels, comments en issue bodies. Zo kan een aanvaller via een malafide PR-titel de AI-agent overtuigen om willekeurige commando's uit te voeren of credentials te stelen en die vervolgens als een security finding of een entry in de GitHub Actions log te publiceren/exfiltreren

De Comment and Control-aanval is een serieus risico, omdat het "malafide prompt" van de aanvaller automatisch kan worden verwerkt door een AI-Agent via (bijvoorbeeld) een GitHub Actions workflow, zonder enige interactie van het slachtoffer, aldus de onderzoekers. De onderzoekers waarschuwen tevens dat de aanval waarschijnlijk werkt tegen elke AI-agent die onbetrouwbare GitHub-data verwerkt en toegang heeft tot tools in een runtime omgeving waarin zich ook productie secrets bevinden.

De onderzoekers rapporteerden de bevindingen aan Anthropic, Google en GitHub.

 

bron: https://www.security.nl