Специалисты по кибербезопасности из Университета Джонса Хопкинса (JHU) провели успешную атаку на ИИ-агентов Anthropic, Google и Microsoft. Боты являются встроенными элементами платформы GitHub Actions. Исследователям удалось перехватить управление над системами с помощью инновационного метода внедрения запросов. Компании выявленные уязвимости не прокомментировали.
Под руководством Аонана Гуана ученые показали, как злоумышленники могут подчинить себе агентов Claude Code Security, Gemini CLI Action и GitHub Copilot. По данным портала The Register, хакеры заставляют ИИ запускать команды оболочки и раскрывать конфиденциальную информацию (API-ключи и токены доступа) с использованием вредоносных инструкций.
Техника атаки получила название «Comment and Control». Она применяет автоматическую обработку данных ИИ-агентами, которые считывают заголовки и комментарии в GitHub. Ученые доказали возможность получения чувствительных данных пользователей с помощью нейросетевых ботов.
При тестировании агента Google Gemini команда применила схожую тактику путем добавления в комментарий к задаче фальшивый раздел «доверенного контента». Самым сложным противником оказался автономный помощник GitHub Copilot от Microsoft, который был защищен разработчиками на нескольких уровнях. Тестировщики использовали для проверки скрытые HTML-комментарии, невидимые для человека, чтобы передать вредоносные инструкции в момент назначения задачи агенту.
