A Aikido Security descobriu uma nova classe de vulnerabilidades, que batizou de “PromptPwnd”, afetando o GitHub Actions e os pipelines de CI/CD do GitLab quando integrados a agentes de IA. Segundo a empresa, é a primeira comprovação de que a injeção de prompts pode comprometer diretamente os pipelines de CI/CD, representando uma escalada significativa nos vetores de ataque à cadeia de suprimentos. A vulnerabilidade permite que invasores injetem comandos maliciosos por meio de entradas de usuário não confiáveis, fazendo com que agentes de IA executem comandos privilegiados que podem vazar segredos ou manipular fluxos de trabalho. Pelo menos cinco empresas da lista Fortune 500 foram confirmadas pelo Aikido como afetadas, e as primeiras acusações sugerem que uma falha provavelmente está presente em muitas outras organizações que utilizam automação baseada em IA em seus processos de desenvolvimento.
Leia também
Desenvolvimento seguro está elevando custos em TI
Arquivos restaurados no GitHub revelam segredos
Entradas de usuários não confiáveis, como as encontradas em corpos de problemas, formalidades de pull requests ou mensagens de commit, são internas diretamente em prompts de IA sem uma validação de vida. O agente de IA interpreta o texto malicioso incorporado como instruções legítimas, em vez de conteúdo, usando suas ferramentas integradas para executar ações privilegiadas no repositório com acesso a tokens de alto privilégio, como GITHUB_TOKEN, GEMINI_API_KEY, GOOGLE_CLOUD_ACCESS_TOKEN e diversas credenciais de acesso à nuvem. Alguns fluxos de trabalho desabilitam permissões de escrita para acionar a exploração, enquanto outros podem ser acionados por qualquer usuário externo que abra um problema, ampliando significativamente a superfície de ataque para agentes não autorizados.
A Aikido Security demonstrou vulnerabilidade por meio de um ataque controlado de prova de conceito contra o próprio repositório Gemini CLI do Google. Os pesquisadores enviaram um problema malicioso contendo instruções ocultas ocultas em conteúdo aparentemente inócuo, direcionando o modelo de IA para executar comandos de shell que editavam o corpo do problema para incluir variáveis de ambiente e tokens sensíveis. O ataque explorou o acesso do agente a ferramentas como `run_shell_command` e `gh issue edit`, combinado com a validação insuficiente de entradas controladas pelo usuário.
Recomendações do Aikido
- Restringe o conjunto de ferramentas disponíveis para agentes de IA.
Evite dar a eles a capacidade de escrever em Issues ou Pull Requests - Evite inserir dados de usuários não confiáveis em transações de IA.
Se realizar, higienizar e validar os dados minuciosamente - Considere a saída da IA como código não confiável.
Não execute a saída gerada sem validação. - Restringir o alcance de vazamentos de tokens do GitHub.
Use o recurso do GitHub para limitar o acesso por endereço IP
