- Ein sorgfältig erstellter Filialname kann Ihr GitHub-Authentifizierungstoken stehlen
- Unicode-Leerzeichen verbergen bösartige Nutzdaten vor den Augen des Menschen
- Angreifer können den Token-Diebstahl bei mehreren Benutzern, die sich ein Repository teilen, automatisieren
Sicherheitsforscher haben in der Codex-Cloud-Umgebung von OpenAI eine Schwachstelle durch Befehlsinjektion entdeckt, die es Angreifern ermöglichte, GitHub-Authentifizierungstokens zu stehlen, indem sie lediglich einen sorgfältig erstellten Filialnamen verwendeten.
Forschung von BeyondTrust Phantom Labs stellte fest, dass die Sicherheitslücke auf eine unsachgemäße Eingabebereinigung bei der Verarbeitung von GitHub-Zweignamen durch Codex während der Aufgabenausführung zurückzuführen ist.
Durch das Einschleusen willkürlicher Befehle über den Zweignamensparameter könnte ein Angreifer bösartige Payloads im Container des Agenten ausführen und vertrauliche Authentifizierungstoken abrufen, die Zugriff auf verbundene GitHub-Repositorys gewähren.
Der Artikel wird weiter unten fortgesetzt
Eine offensichtliche Schwachstelle
Was diesen Angriff besonders besorgniserregend macht, ist die Methode, die Forscher entwickelt haben, um die bösartige Nutzlast vor der Entdeckung durch den Menschen zu verbergen.
Das Team fand eine Möglichkeit, die Nutzlast mithilfe von Ideographic Space, einem Unicode-Zeichen mit der Bezeichnung U+3000, zu verschleiern.
Durch Anhängen von 94 ideografischen Leerzeichen gefolgt von „oder wahr“ an den Zweignamen können Fehlerbedingungen umgangen werden, während der schädliche Teil in der Codex-Benutzeroberfläche unsichtbar gemacht wird.
Die ideografischen Leerzeichen werden von Bash während der Befehlsausführung ignoriert, aber sie verbergen den Angriff effektiv vor jedem Benutzer, der den Filialnamen über das Webportal sehen könnte.
Der Angriff könnte automatisiert werden, um mehrere Benutzer zu gefährden, die mit einem gemeinsam genutzten GitHub-Repository interagieren.
Mit den entsprechenden Repository-Berechtigungen könnte ein Angreifer einen neuen Zweig erstellen, der die verschleierte Nutzlast enthält, und diesen Zweig sogar als Standardzweig für das Repository festlegen.
Bei jedem Benutzer, der anschließend über Codex mit diesem Zweig interagierte, wurde sein GitHub-OAuth-Token auf einen vom Angreifer kontrollierten externen Server exfiltriert.
Die Forscher testeten diese Technik, indem sie einen einfachen HTTP-Server darauf hosteten Amazonas EC2 überwacht eingehende Anfragen und bestätigt, dass die gestohlenen Token erfolgreich übertragen wurden.
Die Sicherheitslücke betraf mehrere Codex-Schnittstellen, darunter die ChatGPT-Website, Codex CLI, Codex SDK und die Codex IDE-Erweiterung.
Phantom Labs entdeckte außerdem, dass Authentifizierungstoken, die lokal auf Entwicklercomputern in der Datei auth.json gespeichert sind, genutzt werden könnten, um den Angriff über Backend-APIs zu replizieren.
Über den einfachen Token-Diebstahl hinaus könnte dieselbe Technik GitHub-Installationszugriffstoken stehlen, indem in einem Pull-Request-Kommentar auf Codex verwiesen wird, wodurch ein Codeüberprüfungscontainer ausgelöst wird, der die Nutzlast ausführt.
Alle gemeldeten Probleme wurden seitdem in Abstimmung mit dem Sicherheitsteam von OpenAI behoben.
Die Entdeckung gibt jedoch Anlass zur Sorge, dass KI-Programmierungsagenten mit privilegiertem Zugriff arbeiten.
Herkömmliche Sicherheitstools wie Antivirus Und Firewalls Dieser Angriff kann nicht verhindert werden, da er innerhalb der Cloud-Umgebung von OpenAI stattfindet, außerhalb ihrer Sichtbarkeit.
Um sicher zu gehen, sollten Organisationen ein Audit durchführen KI-Tools Berechtigungen, insbesondere Agenten, und erzwingen die geringste Berechtigung.
Sie sollten außerdem Repositorys auf ungewöhnliche Zweignamen überwachen, die Unicode-Leerzeichen enthalten, GitHub-Tokens regelmäßig rotieren und Zugriffsprotokolle auf verdächtige API-Aktivitäten überprüfen.
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
