GitHub Copilot Chat 中的一个被称为“CamoLeak”的严重漏洞允许攻击者使用复杂的提示注入技术从私人存储库中悄悄窃取源代码和机密。该漏洞的 CVSS 评分为 9.6,现已被 GitHub 修复。
CamoLeak 攻击是如何运作的
安全研究人员发现的攻击方法 奥马尔·迈拉兹,首先使用 GitHub 的“隐形评论”功能将恶意指令隐藏在拉取请求描述中。虽然此内容在标准界面中对用户不可见,但 Copilot Chat 在生成响应时会摄取所有存储库和拉取请求上下文,包括此隐藏元数据。当有权访问私有存储库的合法开发人员向 Copilot Chat 询问有关受损拉取请求的问题时,就会触发该漏洞。 Copilot 在查询用户的权限下运行,然后会执行隐藏的恶意提示。这使得攻击者可以命令 AI 助手在受害者可访问的私人存储库中搜索敏感信息,例如 API 密钥或源代码。为了泄露被盗数据,攻击利用了 GitHub 自己的“Camo”图像代理服务。通常,GitHub 的内容安全策略 (CSP) 会防止内容直接将数据泄露到外部域。 Camo 代理旨在安全地路由外部图像请求,将 URL 重写为 camo.githubusercontent.com 带有加密签名的地址。 CamoLeak 攻击首先让攻击者创建一个预签名 Camo URL 字典,从而绕过这些保护。每个有效的 URL 都指向攻击者服务器上托管的良性、不可见的 1×1 像素图像,每个唯一的 URL 代表单个数据字符(例如“A”、“B”、“1”、“;”)。然后,注入的提示指示 Copilot 通过以编码被盗存储库内容的特定顺序引用这些预签名图像 URL 来构建其响应。当受害者的浏览器呈现 Copilot 的输出时,它会通过受信任的 Camo 代理发出一系列请求来获取每个不可见的像素。攻击者的服务器收到的这些请求序列有效地逐个字符地重建了被盗的数据,所有这些都不会向用户显示任何恶意内容或触发标准的网络安全警报。
