código desenvolvimento

Agente de IA abre injeção de prompt em pipeline CI/CD

A Aikido Security descobriu uma nova classe de vulnerabilidades, que batizou de “PromptPwnd”, afetando o GitHub Actions e os pipelines de CI/CD do GitLab quando integrados a agentes de IA. Segundo a empresa, é a primeira comprovação de que a injeção de prompts pode comprometer diretamente os pipelines de CI/CD, representando uma escalada significativa nos vetores de ataque à cadeia de suprimentos. A vulnerabilidade permite que invasores injetem comandos maliciosos por meio de entradas de usuário não confiáveis, levando agentes de IA a executar comandos privilegiados que podem vazar segredos ou manipular fluxos de trabalho. Pelo menos cinco empresas da lista Fortune 500 foram confirmadas pela Aikido como afetadas, e os primeiros indícios sugerem que a falha provavelmente está presente em muitas outras organizações que utilizam automação baseada em IA em seus processos de desenvolvimento.

Leia também
Desenvolvimento seguro está elevando custos em TI
Arquivos restaurados no GitHub revelam segredos

Entradas de usuários não confiáveis, como as encontradas em corpos de issues, descrições de pull requests ou mensagens de commit, são incorporadas diretamente em prompts de IA sem a devida validação. O agente de IA interpreta o texto malicioso incorporado como instruções legítimas, em vez de conteúdo, usando suas ferramentas integradas para executar ações privilegiadas no repositório com acesso a tokens de alto privilégio, como GITHUB_TOKEN, GEMINI_API_KEY, GOOGLE_CLOUD_ACCESS_TOKEN e diversas credenciais de acesso à nuvem. Alguns fluxos de trabalho exigem permissões de escrita para acionar a exploração, enquanto outros podem ser ativados por qualquer usuário externo que abra uma issue, ampliando significativamente a superfície de ataque para agentes não autorizados.

A Aikido Security demonstrou a vulnerabilidade por meio de um ataque controlado de prova de conceito contra o próprio repositório Gemini CLI do Google. Os pesquisadores enviaram um problema malicioso contendo instruções ocultas embutidas em conteúdo aparentemente inócuo, direcionando o modelo de IA a executar comandos de shell que editavam o corpo do problema para incluir variáveis ​​de ambiente e tokens sensíveis. O ataque explorou o acesso do agente a ferramentas como `run_shell_command` e `gh issue edit`, combinado com a validação insuficiente de entradas controladas pelo usuário. 

Recomendações da Aikido

  1. Restrinja o conjunto de ferramentas disponível para agentes de IA.
    Evite dar a eles a capacidade de escrever em issues ou pull requests
  2. Evite inserir dados de usuários não confiáveis ​​em solicitações de IA.
    Se inevitável, higienize e valide os dados minuciosamente
  3. Considere a saída da IA ​​como código não confiável.
    Não execute a saída gerada sem validação.
  4. Restrinja o alcance de vazamentos de tokens do GitHub.
    Use o recurso do GitHub para limitar o acesso por endereço IP