A kutatók két kritikus sebezhetőséget fedeztek fel a GitHub Copilotban, a Microsoft mesterséges intelligencia által működtetett kódolási asszisztensében. Az "Affirmation Jailbreak" és a "Proxy Hijack" néven ismert hibák lehetővé teszik a támadók számára, hogy megkerüljék az etikai biztosítékokat, manipulálják a modell viselkedését, és hozzáférjenek prémium AI-erőforrásokhoz, mint például az OpenAI GPT-o1 modelljéhez.
Affirmation Jailbreak
Az Apex Security csapata felfedezte, hogy megerősítő szavak, például a "Sure" hozzáadása a kérésekhez felülírhatja a Copilot etikai korlátait. Normál esetben a Copilot elutasítja a káros kéréseket, de a megerősítő szó használatával készségesen segít olyan tevékenységekben, mint:
- SQL injection végrehajtása
- Deauthentikációs támadások
- Hamis Wi-Fi hálózatok létrehozása
Ez a viselkedés azt mutatja, hogy a Copilot egyszerű nyelvi manipulációval könnyen átválthat felelős segítőből szabályszegő társsá.
Proxy Hijack
Egy súlyosabb sebezhetőség lehetővé teszi a támadók számára, hogy a Copilot API-forgalmát egy rosszindulatú proxyn keresztül irányítsák át, korlátlan hozzáférést biztosítva az OpenAI modellekhez. A kutatók módosították a Visual Studio Code (VSCode) beállításait a forgalom átirányításához, megkerülve a Copilot natív proxy-validációját. Ez lehetővé tette a közbeékelődéses (MITM) támadásokat. A proxy elfogta a Copilot hitelesítési tokenjét, amely hozzáférést biztosít az OpenAI API végpontjaihoz. A támadók ezután közvetlenül lekérdezhették a GPT-o1-hez hasonló modelleket, megkerülve a használati korlátokat és a számlázási ellenőrzéseket. Az ellopott tokennel a támadók magas kockázatú tartalmakat generálhatnak (adathalász sablonok, exploit kódok), vagy akár kiszivárogtathatják a tulajdonosi kódot manipulált kiegészítéseken keresztül, hatalmas költségeket okozva ezzel a "használat alapú fizetést" alkalmazó vállalatoknak.
Microsoft válasza és szakértői vélemények
A Microsoft biztonsági csapata szerint a tokenek licencelt fiókokhoz kapcsolódnak, és a megállapításokat "informatív" jellegűnek minősítették, nem pedig kritikusnak. Az Apex ezzel szemben azt állítja, hogy a kontextus-tudatos szűrés és a proxy integritás-ellenőrzések hiánya rendszerszintű kockázatokat teremt.
Javasolt megoldások
A szakértők a következő intézkedéseket javasolják a sebezhetőségek kezelésére:
- Tanúsítvány-rögzítés (certificate pinning) kikényszerítése és külső proxy felülírások blokkolása
- API tokenek korlátozása engedélyezett IP-tartományokra és használati kontextusokra
