Bezbednosni istraživači iz kompanije Aikido Security otkrili su novu klasu ranjivosti u GitHub Actions i GitLab CI/CD sistemima koja omogućava zlonamernim korisnicima da preko AI agenata izvuku tajne tokene, menjaju repozitorijume i manipulišu automatizacijom. Ranjivost, nazvana PromptPwnd, već je potvrđena kod više Fortune 500 kompanija, kao i u zvaničnom Google Gemini CLI repozitorijumu.
U trenutku kada se AI agenti masovno uvode u automatizaciju razvoja softvera, istraživači su potvrdili ono na šta se dugo upozoravalo samo teorijski. Prompt injection napad sada direktno kompromituje CI/CD pipeline. Drugim rečima, običan tekst iz issue-a, pull requesta ili commit poruke može se pretvoriti u izvršnu komandu sa punim privilegijama.
Aikido je prvi javno dokumentovao ovaj obrazac napada, otvorio pravila za detekciju i odgovorno prijavio problem pogođenim kompanijama. Google je zakrpio Gemini CLI u roku od četiri dana, ali prvi nalazi pokazuju da su slične konfiguracije prisutne kod velikog broja projekata.
Kako zapravo funkcioniše PromptPwnd napad
Suština napada je jednostavna, ali izuzetno opasna. Neprovereni korisnički sadržaj se direktno ubacuje u prompt koji se šalje AI modelu. Model zatim ima pristup alatima koji mu omogućavaju izvršavanje shell komandi, izmenu issue, komentarisanje pull requestova i pristup GitHub tokenima.
U praksi, tok napada izgleda ovako. Zlonamerna poruka se pojavljuje kao deo običnog teksta u issue-u ili opisu koda. AI agent pogrešno tumači taj tekst kao instrukciju. Zatim pomoću svojih privilegovanih alata izvršava komande koje napadač želi. Ako se u okruženju nalaze GITHUB_TOKEN sa write privilegijama, cloud pristupni tokeni ili API ključevi, oni mogu biti izvučeni i javno objavljeni.
U testiranju je potvrđen realan scenario u kome je AI agent izmenio issue i u njegov sadržaj ubacio ukradeni token. Napad je uspešno reprodukovan u kontrolisanom okruženju i prijavljen kroz Google OSS Vulnerability Rewards Program.
Istraživači su utvrdili da su posebno rizični workflow fajlovi koji direktno prosleđuju vrednosti poput naslova issue-a, tela poruke ili commit opisa u prompt bez ikakve sanacije. Iako environment promenljive štite od klasične komande injekcije, one ne nude nikakvu zaštitu od prompt injection napada.
Koji AI alati i workflow konfiguracije su ugroženi
Ranjivost nije vezana isključivo za jedan alat. Isti obrazac je pronađen kod više popularnih AI agenata koji se koriste unutar GitHub Actions i GitLab sistema. Među njima su Gemini CLI, Claude Code Actions, OpenAI Codex Actions i GitHub AI Inference.
Posebno rizične postavke su one koje omogućavaju pokretanje AI workflow-a korisnicima bez write privilegija nad repozitorijumom. Kod Claude Code Actions to je opcija koja dozvoljava pokretanje svim korisnicima. Kod OpenAI Codex-a slična zaštita može biti isključena kroz pogrešnu konfiguraciju. Kod GitHub AI Inference dodatni problem nastaje kada se aktivira opcija za pristup MCP serveru, jer tada AI dobija direktan kanal ka privilegovanim GitHub tokenima.
Napad ne zahteva uvek direktan pristup izvođenju koda. Dovoljno je da AI ima mogućnost da izmeni issue ili komentar i u njega upiše kompromitovani token.
Zašto je ova ranjivost posebno opasna za ceo ekosistem
GitHub Actions su već označene kao jedna od najkritičnijih tačaka softverskog lanca snabdevanja, što je ranije pokazao i Shai-Hulud napad. Uvođenje AI agenata sada dodaje potpuno novu površinu za napad.
AI se sve češće koristi za automatsku obradu issue-a, etiketiranje, sumarizaciju, predlaganje izmena, generisanje koda i pisanje odgovora korisnicima. Problem nastaje kada se ti procesi spoje sa punim privilegijama nad repozitorijumom i cloud infrastrukturom.
Ovo više nije teorijska pretnja. Postoje potvrđeni aktivni scenariji kompromitacije stvarnih sistema. Neki su zahtevali kolaboratorske privilegije, dok su drugi mogli biti pokrenuti od strane bilo kog spoljnog korisnika koji pošalje issue.
Kako se trenutno preporučuje zaštita
Aikido Security preporučuje da se alatima za detekciju proveri svaki CI/CD sistem koji koristi AI agente. Ključne mere zaštite podrazumevaju strogo ograničavanje alata kojima AI ima pristup, zabranu pisanja u issue i pull requestove, kao i potpuno izbegavanje direktnog ubacivanja neproverenog korisničkog sadržaja u prompt.
Ako se takav unos ne može izbeći, on se mora temeljno čistiti i validirati. Takođe, AI izlaz se mora tretirati kao nepoverljiv kod i ne sme se automatski izvršavati bez dodatne provere.
Dodatna zaštita podrazumeva i smanjivanje blast radiusa ukradenih tokena, korišćenjem IP ograničenja i minimalnih privilegija.
Zaključak koji menja način razmišljanja o AI u automatizaciji
PromptPwnd jasno pokazuje da AI agenti u CI/CD sistemima više nisu samo pomoćni alat već potencijalni bezbednosni rizik najvišeg nivoa. Kombinacija neproverenog korisničkog unosa, pametnog modela i privilegovanih alata stvara napadni vektor kakav do sada nije postojao u praksi.
Svaki projekat koji koristi AI za obradu issue-a, pull requestova, odgovora korisnicima ili generisanje koda mora hitno da izvrši bezbednosnu proveru svojih workflow konfiguracija. U suprotnom, rizikuje curenje tajni, kompromitaciju repozitorijuma i napade na ceo lanac snabdevanja.
Ovo je prvi veliki signal da AI u CI/CD sistemima mora da se tretira kao visoko rizična komponenta, a ne kao bezazlena automatizacija.
0 komentara