O hacker Astrounder, apelido do pesquisador de segurança Marlon Fabiano, encontrou duas vulnerabilidades de dia zero no GitHub Copilot. As falhas, além de permitir mudanças no comportamento do modelo Copilot, entregam dados do desenvolvedor.
Injeção permitida de prompts maliciosos que podem modificar as respostas
Desenvolvido entre GitHub e OpenAI, GitHub Copilot serve para auxiliar usuários de ambientes de desenvolvimento integrados (Visual Studio Code, Visual Studio, Neovim e JetBrains, por exemplo) sugerindo códigos para preenchimento automático.
“Os dois zero-days permitiram a exfiltração do código do desenvolvedor”, comenta Astrounder. A primeira vulnerabilidade envolve injeção direta e imediata: permitiu a injeção de prompts maliciosos que poderiam modificar as respostas do Copilot e vazar o código-fonte em que o desenvolvedor estava trabalhando.
Copiloto GitHub
“Usando técnicas de cloaking no bate-papo do Copilot no Visual Studio Code, essa vulnerabilidade explorou a falta de validação segura nas respostas do modelo. Através do uso de tags HTML ocultas, invasores podem fazer com que o Copilot execute comandos maliciosos sem o conhecimento do usuário, resultando no vazamento de informações confidenciais”, explica.
A segunda vulnerabilidade envolve injeção através do plugin “@workspace”. Segundo Astrounder, o plugin foi instruído a ler arquivos dentro do repositório e poderia seguir instruções ocultas para realizar ações não autorizadas. Em um caso possível, os invasores poderiam exibir mensagens enganosas aos usuários.
Copiloto GitHub
O pesquisador comenta que ambas as vulnerabilidades trouxeram riscos significativos para que o Copilot pudesse ser manipulado para vazar o código-fonte ou o conteúdo de arquivos abertos no VSCode, afetando diretamente a confidencialidade dos projetos dos desenvolvedores.
O GitHub foi contatado pela Astrounder, que investigou e fez as correções necessárias. Devido às políticas internas do Github não houve registro de CVEmas as vulnerabilidades já foram corrigidas.
Copiloto GitHub
“É importante não confiarmos cegamente nos serviços de IA. Às vezes quem está interagindo com você não é apenas um modelo de linguagem, mas também há uma série de fluxos que ainda podem ser manipulados maliciosamente”, finalizou Astrounder.
Reporte ao TecMundo
Ó TecMundo apoia o trabalho de hackers éticos. Faça sua denúncia nos seguintes canais:
empréstimo consignado descontado em folha de pagamento
zap empréstimo
simular empréstimo fgts bradesco
empréstimo auxílio brasil 2023
limite para empréstimo consignado
nova margem consignavel
empréstimo em belo horizonte
