"Comment and Control" aanval gebruikt GitHub-comments tegen AI-agents

In dit artikel:

Onderzoekers melden in een blogpost een nieuwe kwetsbaarheid genaamd "Comment and Control": AI-agents die op GitHub draaien kunnen via kwaadwillend opgemaakte GitHub-gegevens (zoals PR-titels, comments en issue-bodies) worden overgenomen. Bij tests bleek de techniek te werken tegen Anthropic Claude Code, Google Gemini en GitHub Copilot. Met een gemanipuleerde comment of PR-naam kan een aanvaller de agent aanzetten tot het uitvoeren van commando’s of het lekken van API-keys en access tokens, bijvoorbeeld door die gegevens als ‘security finding’ of in GitHub Actions-logs te publiceren en zo te exfiltreren.

De ernst zit hem erin dat zo’n malafide prompt automatisch door een agent verwerkt kan worden binnen workflows, zonder dat een mens tussenbeide komt. De onderzoekers waarschuwen dat elke agent kwetsbaar is die onbetrouwbare GitHub-data verwerkt en toegang heeft tot tools in een runtime met productie-secrets. De bevindingen zijn gemeld aan Anthropic, Google en GitHub. Ter mitigatie adviseren experts onder meer het filteren en ontsmetten van externe input, het beperken van secrets-toegang en het isoleren van agents.