文章摘要
研究发现GitHub Copilot Chat存在高危漏洞(CVSS 9.6),可通过结合GitHub基础设施的CSP绕过和远程提示注入攻击,窃取私有仓库的敏感信息和源代码,并完全控制Copilot的响应。漏洞上报后,GitHub通过禁用Copilot Chat中的图像渲染功能进行了修复。
文章总结
标题:CamoLeak漏洞:GitHub Copilot存在严重安全隐患,可泄露私有源代码
核心内容:
2025年6月,研究人员发现GitHub Copilot Chat存在一个高危漏洞(CVSS评分9.6),该漏洞允许攻击者: 1. 静默窃取私有仓库的敏感信息和源代码 2. 完全控制Copilot的响应内容,包括植入恶意代码或链接
攻击原理: - 利用GitHub的"隐藏评论"功能(官方文档支持的特性)植入恶意提示 - 结合远程提示注入和CSP绕过技术(通过GitHub自带的Camo图片代理系统) - Copilot会以当前用户的权限执行操作,导致私有数据泄露
技术细节: 1. 攻击者可在PR描述中插入隐藏的恶意提示(使用语法) 2. 利用GitHub的Camo图片代理系统,预先生成字母符号对应的代理URL字典 3. 诱导Copilot将私有数据转换为ASCII艺术形式的图片请求,实现数据外泄
漏洞影响: - 可窃取私有仓库中的零日漏洞描述等敏感信息 - 能搜索受害者代码库中的"AWS_KEY"等密钥信息 - 可控制其他用户的Copilot响应内容
修复情况: GitHub已于2025年8月14日修复该漏洞,解决方案是彻底禁用Copilot Chat中的图片渲染功能。
(注:文中涉及的示例图片链接和技术细节图片已省略,保留了关键的技术原理说明)
评论总结
这篇评论主要围绕AI安全漏洞和解决方案展开讨论,观点呈现两极化:
- 支持与赞赏观点:
- 认为文章展示了创新的安全漏洞研究方法("Wild approach. Very nice")
- 对漏洞报告的质量表示肯定("A good vulnerability writeup, and a thrill to read")
- 质疑与批评观点:
- 认为解决方案存在根本性缺陷,仅修复了特定方法而未解决核心问题("They merely 'fixed' one particular method")
- 指出AI代理存在固有安全风险("You'd have to be insane to run an AI agent locally")
- 质疑非开源安全解决方案的可信度("Using non FOSS solutions for cybersecurity is a large risk")
- 具体技术疑问:
- 多次询问隐藏内容漏洞是否修复("Did the markdown link exfil get fixed?"/"can you still make invisible comments?")
- 关注权限管理问题("Why can an attacker's prompt access a repo the attacker does not have access to?")
- 商业推广质疑:
- 有评论认为文章带有商业宣传性质("this article feels like a promotional for Legit")
关键引用保留: - "Using non FOSS solutions for cybersecurity is a large risk" - "They merely 'fixed' one particular method, without disclosing how they fixed it" - "You'd have to be insane to run an AI agent locally" - "Why can an attacker's prompt access a repo the attacker does not have access to?"