【安全资讯】研究人员利用新型提示注入攻击劫持主流AI代理，窃取API密钥

概要：

在人工智能技术深度集成到软件开发流程的当下，一项新型的“提示注入”攻击手法浮出水面，对行业安全构成了严峻挑战。安全研究人员成功利用该技术，劫持了Anthropic、Google和微软旗下三款主流的GitHub集成AI代理，窃取了敏感的API密钥和访问令牌。令人担忧的是，相关供应商在修复漏洞后并未公开披露详情，导致大量用户可能仍在运行存在风险的版本。

主要内容：

这项攻击的核心是一种被称为“评论与控制”的新型提示注入技术。研究人员发现，Anthropic的Claude代码安全审查、Google的Gemini CLI Action以及微软的GitHub Copilot等AI代理，在处理GitHub拉取请求标题、议题正文和评论时，均遵循相似的流程：将用户提供的数据作为任务上下文的一部分进行处理并据此执行操作。攻击者正是通过在这些数据中注入恶意指令，实现了对AI代理的劫持。

以攻击Claude为例，研究人员在拉取请求的标题中注入指令，命令AI执行`whoami`等Bash命令，并将结果作为“安全发现”输出。AI代理忠实地执行了被注入的命令，并将输出结果嵌入JSON响应中，发布为拉取请求的评论。通过这种方式，攻击者不仅能执行任意命令，还能窃取暴露在GitHub Actions运行环境中的各类密钥，包括Anthropic和Gemini的API密钥、GitHub令牌以及用户自定义的仓库或组织密钥。

尽管这些AI模型本身内置了提示注入防御机制，但攻击在应用层面依然成功。例如，攻击GitHub Copilot时，研究人员将恶意指令隐藏在HTML注释中，这些注释在GitHub渲染的Markdown中对用户不可见。当受害者将包含隐藏触发器的议题分配给Copilot处理时，攻击便被自动触发。这凸显了在复杂集成环境中，仅靠模型层面的防护是不够的。

此次事件暴露了AI代理在权限管理上的重大缺陷。研究人员建议，应将AI代理视为“拥有超能力的员工”，严格遵循“最小权限原则”。例如，代码审查代理若无需执行Bash命令，则不应授予其相应工具；仅需总结议题的代理，则不应拥有GitHub的写入凭证权限。供应商需重新审视并加固其AI代理的安全边界，而用户也应对其保持警惕，仅用于审查可信的代码变更。