GitHub Copilot CLIにおける間接プロンプトインジェクションによるマルウェア実行の脆弱性

概要

GitHub Copilot CLIの承認済みコマンドリストを悪用し、ユーザーの許可なく外部URLからマルウェアをダウンロード・実行できる脆弱性が発見された。

詳細内容

GitHub Copilot CLIのセキュリティ制御をバイパスする手法が公開されました。通常、Copilot CLIは「Human-in-the-loop」システムを採用しており、`curl`や`sh`といった危険なコマンドや外部への通信が発生する際はユーザーの承認を求めます。しかし、Copilotが「安全（読み取り専用）」として自動承認するリストに含まれる`env`コマンドの引数としてこれらを記述することで、パーサーの検知を逃れ、承認なしに任意コマンドを実行できることが判明しました。攻撃者はクローンされたリポジトリのREADMEファイルなどに悪意のある指示を埋め込む「間接プロンプトインジェクション」を通じて、ユーザーがリポジトリを探索している間にバックグラウンドでマルウェアをダウンロード・実行させることが可能です。GitHub側はこの報告を検証し事実と認めましたが、現時点では「既知の問題」であり「重大なリスクではない」として、バグバウンティの対象外としています。

元記事を読む他のサマリーを見る