資安廠商Aikido Security揭露一類名為PromptPwnd的AI提示注入漏洞,出現在把Gemini CLI、Claude Code、OpenAI Codex、GitHub AI Inference等AI代理介接GitHub Actions或GitLab CI/CD時。當工作流程同時處理議題(Issue)與拉取請求等不受信任內容,又讓AI握有高權限金鑰與操作工具,攻擊者便可透過精心設計的文字提示,竊取憑證或修改工作流程。
研究人員指出,至少已有5家Fortune 500企業受影響,Google官方Gemini CLI專案也曾被證實可重現完整攻擊鏈,顯示這已不再是理論風險。
這類風險多源於維護者使用AI自動化分級處理與標籤作業。常見做法是把Issue的標題與內文,以及程式碼提交訊息,直接帶入LLM的提示詞,同一個CI/CD工作流程又同時配置具有寫入權限的GitHub權杖與雲端存取權杖,並授予AI透過Shell指令或GitHub CLI操作儲存庫的權限。當攻擊者在Issue文字中嵌入看似說明文件、實際上是下達指令的段落時,模型會將其當成操作指示,依照內容呼叫相關工具,把金鑰寫入公開Issue,或在程式碼庫與討論區執行未預期的變更。
Gemini CLI、Claude Code Actions、OpenAI Codex Actions與GitHub AI Inference等整合,在將不受信任內容直接帶入提示,又配合高權限權杖與工具時,皆存在相同風險。部分工作流程雖要求具寫入權限的協作者才能啟動,但也存在任何使用者只要提出Issue或拉取請求就能觸發AI代理的設計,進一步放大熱門專案與大型企業程式碼庫的攻擊面。
研究人員建議企業在設計CI/CD工作流程時,先限縮AI可呼叫的工具集合,避免授予任意Shell或自動編輯Issue與拉取請求的能力,其次避免直接嵌入原始使用者輸入,必要時進行格式驗證與過濾,並一律將AI輸出視為不可信結果。對於GitHub權杖與雲端存取權杖,則需落實最小權限原則並搭配IP來源限制等控管措施。
研究人員已將檢測這類AI提示與權限組合的Opengrep規則開放原始碼,並在自家平臺提供針對GitHub與GitLab儲存庫的SAST與IaC掃描服務,用來找出在CI/CD中同時混用不受信任輸入與AI輸出的高風險模式。研究人員目前也正與多家大型企業合作調整工作流程與權限模式。
熱門新聞
2026-01-16
2026-01-21
2026-01-19
2026-01-21
2026-01-20
2026-01-20