A GitHub modell-kontextus-protokoll (MCP) integráció kritikus biztonsági hibája lehetővé teszi az AI kódoló asszisztensek számára, hogy szivárogjanak a privát tároló adatokra A „mérgező szeri áramlás” trükköket használja ki, például a Github Copilot vagy a Connected Claude példányokat, speciálisan kidolgozott GitHub-kérdések révén. A sebezhetőség kiemeli az AI-ügynökök gyorsan bővülő ökoszisztémájának jelentős építészeti biztonsági kihívását. Csillagok a Github-on-de inkább az AI-szerek kölcsönhatásba lépnek a nem megbízható külső adatokkal. Az invariáns laboratóriumok figyelmeztették, hogy a támadók ezeket a „gyors bombákat” nyilvános kérdésekbe ültethetik, és arra várnak, hogy egy szervezet AI ügynöke botlik rájuk a rutin feladatok során. modell . A kutatók kimutatták, hogy a rosszindulatú github-kiadás Egy nyilvános adattárban injektálhat egy AI-ügynököt src=”https://winbuzzer.com/wp-content/uploads/2025/04/github-copilot-ovicial.jpg”>
Ez becsapta az ügynököt a privát tároló adatok hozzáférésére-a nevek, a projekt részletei és még állítólagos fizetési információkkal való hozzáférésbe való hozzáférésbe való hozzáférésbe való hozzáférésbe, majd az ügynököt becsapta az ügynökbe. href=”https://github.com/ukend0464/pacman/pull/2″cél=”_ üres”> új pull kérés a nyilvános tárolóban.
A megtévesztő áramlás mechanikája
Ez a támadás kihasználja a Simon Willison technológiai elemzőjét. Trifecta”Azonnali injekcióhoz: az AI ügynök hozzáféréssel rendelkezik a magán adatokhoz, ki van téve rosszindulatú utasításoknak, és képesek kitéve az információkat. A támadás sikere, még olyan kifinomult modellek ellen is, mint a Claude 4 Opus, hangsúlyozza, hogy a jelenlegi AI biztonsági képzés önmagában nem elegendő az ilyen manipulációk megelőzéséhez. Az invariáns laboratóriumok, amelyek szintén kidolgozzák a kereskedelmi biztonsági eszközöket, megjegyezte, hogy az iparági verseny a kódoló ügynökök széles körben történő telepítésére sürgős aggodalomra ad okot. Ez az alapvető probléma azt jelenti, hogy még ha maga az MCP-kiszolgáló is biztonságos, akkor az ügynökök úgy tervezték, hogy a külső információk felhasználására és a külső információkon való hatással legyenek. Ez egy jelentős iparági mozgalom része volt, az Openai, a Microsoft az Azure AI-n keresztül, és AWS saját MCP-kiszolgálóival, amelyek mindegyike elfogadja vagy támogatja az antropikus eredetű modell-kontextus-protokollot. Az ügynökök interakcióinak sebezhetőségei kiterjedt következményekkel járhatnak. Olyan funkciók, mint a github Copilot ügynök módja , amely lehetővé teszi az AI-t, hogy a terminálparancsok futtassák, és kezelik a fájlokat, akkor hatékony eszközökké válnak, ha az ágensek kompromittálódnak. Forward
invariáns laboratóriumok, amelyek olyan kereskedelmi biztonsági eszközöket is fejlesztenek, mint a invariáns őrök és MCP-SCAN , számos csökkentési stratégiát javasol. Ide tartoznak a szemcsés, kontextus-tudatos engedélyvezérlők végrehajtása-például egy olyan politika, amely az ügynököt csak egy tárolóhoz való hozzáférésre korlátozza munkamenetenként. Egy specifikus házirend-példa Az invariáns laboratóriumok biztosítják a védőkorlátok számára, hogy megakadályozzák a kereszt-repotory információs szivárgást, hogy az ügynököket nem kapja meg a különböző repositorákhoz való hozzáféréshez. Azonnal egyértelmű, és azt tanácsolja a végfelhasználóknak, hogy „nagyon óvatosak” legyenek, amikor az MCP-vel kísérleteznek. A felfedezés az AI fejlesztői eszközökben szereplő egyéb biztonsági aggályokat követi, például a A gitlab duo-ban a legitim biztonság általi jelentése szerint a gitlab duo-ban a vullenitás szükséges. AI-natív rendszerek, a modellszintű biztosítékokon túllépve a teljes ügynök architektúra és annak interakciós pontjainak biztosítása érdekében.