技術的な説明
シンガポール国立大学とByteDanceの研究者がHeimdallrを発表しました。これはGitHub CI WorkflowsにおけるLLM統合によってもたらされるセキュリティリスクを検出するハイブリッド分析フレームワークです。この研究は新しい攻撃面を特徴付けています。外部から制御可能な入力(Issue comments、pull requests)がLLMプロンプトと出力を形成し、それがセキュリティ判定、リポジトリ状態、または特権実行に影響を与える可能性があります。Heimdallrはトリガーability分類において99.8%の精度を達成し、759のリポジトリ全体で802の脆弱なワークフローインスタンスを開示しました。
攻撃経路
攻撃者がGitHub issueコメントまたはpull request説明に細工されたテキストを埋め込みます。CI workflowがこのテキストをコードレビュー、triage labeling、または自動マージの判定用にLLMプロンプトに組み込む場合、攻撃者はモデルの推論を操り、生成された出力を操作し、プロンプトインジェクション経由でシークレットをリークし、または意図しない特権アクション(例:悪意あるコードの自動マージ)をトリガーできます。
影響を受けるシステム
issue triage、pull request review、content generation、またはリポジトリメンテナンスなどの自動化タスク用にLLMを統合したGitHub CI workflows。研究チームは責任を持って802の脆弱なインスタンスを開示し、71の謝辞を受け取りました。
緩和策
開発チームはCI workflows内のLLM出力を信頼できないデータとして扱い、特権アクション前に検証を必須とすべきです。外部から制御可能なテキストに対する厳密なinput sanitizationを実装し、セキュリティクリティカルな判定に対するhuman-in-the-loop承認を強制し、エージェントが特権APIを呼び出すのを防ぐためにLLMツール使用権限をauditしてください。Heimdallrフレームワークは組織が自らのCI workflowsをスキャンするために利用可能です。