Pesquisadores da Legit Security detalharam uma falha no assistente Copilot Chat do GitHub que permitia vazamento de dados sensíveis e controle total sobre as respostas geradas pelo Copilot. O pesquisador Omer Mayraz combinou uma técnica de contornar a Política de Segurança de Conteúdo com injeção remota de prompt usando comentários HTML ocultos para influenciar o contexto de outros usuários e extrair conteúdo de repositórios privados.
Leia também
Faltam 329 mil profissionais de cibernética na América Latina
Enisa alerta: 79% dos ciberataques têm motivação política
Ó problema explorava o recurso que permite ocultar conteúdo em Markdown por meio de comentários HTML, que ainda assim são processados pelo Copilot. A proteção do GitHub que impede requisições a domínios externos usa um proxy chamado Camo para imagens. Mayraz criou um dicionário de URLs Camo preassinadas para cada símbolo possível e embutiu esse dicionário no prompt injetado, fazendo o Copilot gerar requisições que retransmitam dados codificados para um servidor controlado pelo atacante.
Na prática, a exploração possibilitou a exposição de chaves AWS, detalhes de vulnerabilidades zero-day e trechos de código de repositórios privados, além de permitir a manipulação do comportamento do assistente para pacotes maliciosos a outros usuários. O pesquisador publicou vídeos de prova de conceito demonstrando a exfiltração e o controle das respostas.
O GitHub anunciou em 14 de agosto que bloqueou o uso do Camo para vazamento de informações sensíveis e acaba de corrigir a falha. Ainda assim, recomenda-se que organizações e desenvolvedores rotacionem credenciais seguras, verifiquem logs de acesso a repositórios privados e revisem comentários ocultos e automatizações que possam interferir no contexto do Copilot.
