Penjelasan teknis
Peneliti keamanan mengungkapkan sebuah kelas serangan injeksi prompt — dijuluki 'Comment and Control' — yang membajak agen pengkodean AI yang terintegrasi dengan GitHub Actions. Dengan menanamkan instruksi berbahaya di judul PR, badan issue, atau komentar issue (termasuk komentar HTML tersembunyi yang tidak terlihat dalam Markdown yang dirender), penyerang dapat mengarahkan ulang agen AI untuk mengekstrak kunci API dan token akses. Ketiga agen pengkodean AI utama — Anthropic's Claude Code Security Review, Google's Gemini CLI Action, dan Microsoft's GitHub Copilot — dikonfirmasi rentan. Bug bounty dibayarkan ($100 oleh Anthropic, $1,337 oleh Google) tetapi tidak ada vendor yang menugaskan CVE atau menerbitkan penasihat keamanan publik, membuat pengguna terjebak pada versi rentan tanpa kesadaran.
Vektor serangan
Penyerang dengan akses tulis ke repositori GitHub (atau yang dapat mengirimkan PR) menanamkan muatan injeksi prompt di judul PR, badan issue, atau komentar HTML tersembunyi. Ketika agen pengkodean AI memproses konten repositori sebagai bagian dari alur kerja otomatis, agen tersebut menginterpretasikan instruksi yang disuntikkan dan mengekstrak rahasia (kunci API, token akses) ke lokasi yang dikendalikan penyerang seperti komentar issue publik atau endpoint eksternal.
Sistem yang terdampak
Anthropic Claude Code Security Review (GitHub Action), Google Gemini CLI Action, Microsoft GitHub Copilot Agent — semua ketika beroperasi dalam alur kerja otomatis GitHub Actions
Mitigasi
Batasi pemicu alur kerja agen AI hanya untuk kontributor tepercaya. Audit alur kerja GitHub Actions untuk integrasi agen AI dan tinjau rahasia mana yang dapat diakses oleh runner tersebut. Pantau pembuatan komentar issue yang anomali oleh aktor otomatis. Sampai patch atau penasihat resmi diterbitkan, pertimbangkan untuk menonaktifkan pemicu peninjauan kode AI otomatis pada repositori publik atau yang dapat diakses kontributor. Periksa halaman changelog dan dokumentasi keamanan vendor masing-masing untuk pembaruan.