פרצת GitLost: סוכן ה-AI של גיטהאב סייע להאקרים

חוקרי נומה לאבס הישראלית גילו כיצד פקודות פשוטות באנגלית עוקפות את מנגנוני ההגנה של סוכן גיטהאב ● התוצאה? המערכת עצמה מדליפה קוד רגיש ממאגרים פרטיים אל הרשת, מבלי שלתוקף יהיו הרשאות או ידע בתכנות

נחשפה בגיטהאב. פרצת GitLost.

פלטפורמת פיתוח הקוד הפופולרית גיטהאב (GitHub) מתמודדת עם חולשת אבטחה משמעותית בשירות ה-Agentic Workflows שלה, המאפשר לאוטומציות להיות מנוהלות על ידי בינה מלאכותית (כמו קלוד או גיטהאב פיילוט) באמצעות פקודות בשפה טבעית.

את החשיפה החמורה הזו הוביל צוות  נומה לאבס (Noma Labs) – זרוע המחקר וגילוי החולשות של חברת הסטארט-אפ הישראלית נומה סקיוריטי (Noma Security). בעוד שחברת-האם – שהוקמה ב-2023 על ידי ניב בראון ואלון טרון – מפתחת פלטפורמה מקיפה לאבטחה וניהול סיכונים של סוכני בינה מלאכותית בארגונים, מעבדת המחקר שלה מוקדשת לאיתור פרואקטיבי של פרצות מורכבות במערכות של חברות טכנולוגיה גדולות, טרם ניצולן בידי תוקפים.

במקרה האחרון, צוות חוקרי נומה לאבס חשף פגיעות חמורה שזכתה לשם GitLost, המנצלת את העובדה שהסוכן החכם קורא טקסטים חיצוניים' ומתקשה להבדיל בין הוראות מערכת לגיטימיות לבין פקודות זדוניות שהושתלו על ידי משתמשים.

כדי להוציא את התקיפה לפועל, vהאקרים אינם זקוקים להרשאות מיוחדות, לפרטי התחברות או להבנה מורכבת בכתיבת קוד – כל שעליהם לעשות הוא לפתוח קריאת שירות (Issue) רגילה למראה' בתוך מאגר קוד ציבורי של ארגון מסוים. בתוך גוף הטקסט מוחבאות הוראות באנגלית המורות לסוכן הבינה המלאכותית לגשת למאגרים הפרטיים של אותו ארגון, לשאוב משם תוכן רגיש (כמו קובצי README) ולפרסם אותו בתור תגובה פומבית וגלויה לכל בקריאת השירות המקורית.

"הזרקת פרומפט עקיפה בסוכני AI מקבילה להזרקת SQL ביישומי רשת"

למרות שגיטהאב יישמה מנגנוני הגנה שונים, כמו הפעלה בארגז חול (Sandbox) וסריקת איומים, החוקרים גילו פרצה לשונית קלה להדהים: הוספת המילה הבודדת "בנוסף" (Additionally) לפני הפקודה הזדונית גרמה למודל השפה לשנות את אופן הפעולה שלו ולהתעלם ממגבלות הבטיחות, במקום לסרב לבקשה.

חברת נומה לאבס הגדירה את הפגיעות כ"הזרקת פרומפט עקיפה" (Indirect Prompt Injection). בהודעת החברה הרשמית הוסברה חומרת המצב: "הזרקת פרומפט עקיפה בסוכני AI מקבילה להזרקת SQL ביישומי רשת; זוהי בעיה המשותפת לכל המערכות מאותו הסוג. חלון ההקשר (Context Window) של הסוכן הוא גם משטח התקיפה שלו".

ששי לוי, ראש צוות מחקר האבטחה ב-נומה סקיוריטי, הרחיב על הסכנה בראיון שהעניק לאתר החדשות The Register, בו ציין כי: "סוכן אוטונומי לא אמור להוות סיכון לזליגת נתונים חרישית ולחשיפת סודות. לפני שצוות אבטחה מאשר סוכן אוטונומי כלשהו, עליו להבטיח שהוא מבין את כל החיבורים, הגישות והנתיבים האפשריים… אי אפשר להגן על מה שאי אפשר לראות ולבקר".

בהתייחסות נוספת לסוגיה, באתר The Hacker News, ציין לוי כי בניגוד למקרי עבר שהתמקדו במניפולציה על מה שסוכן ה-AI אומר, "GitLost עוסקת במניפולציה של מה שהסוכן עושה עם ההרשאות שלו".

באשר לתגובתה של חברת גיטהאב – נומה לאבס ציינו כי הם דיווחו על התקרית באחריות לחברה, וכי גיטהאב הפכה את הפרטים לפומביים לאחר שהבינה את תמונת המצב במלואה. עם זאת, על פי הדיווח של The Register, גיטהאב טרם יישמה תיקוני אבטחה או הוסיפה אזהרות במסמכי התיעוד שלה כפי שהוצע לה, ולא העבירה תגובה רשמית לפניות גוף התקשורת בנושא.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים