Forskere fra Johns Hopkins University har avslørt en ny klasse prompt injection-angrep de kaller «Comment and Control». Angrepet utnytter at KI-kodingsagenter leser kodekommentarer, pull request-titler og issue-beskrivelser som del av konteksten sin — og blindt følger instruksjoner gjemt i dem.
Gavin Zhong og Zhengyu Liu demonstrerte angrepet mot tre av de mest brukte KI-agentene som integreres med GitHub Actions: Anthropics Claude Code Security Review, Googles Gemini CLI Action og Microsofts GitHub Copilot. Alle tre var sårbare.
«Dette er proaktiv prompt injection — GitHub Actions-workflows fyrer automatisk på pull request-titler, issue-tekst og kommentarer, uten at utvikleren gjør noe aktivt» — Gavin Zhong, Johns Hopkins University
Angrepet skiller seg fra klassisk indirekte prompt injection gjennom automatiseringen. Vanlig prompt injection krever at et offer aktivt henter ondsinnet innhold. Med Comment and Control er det nok å opprette en issue eller PR med en spesialkonstruert tittel. Agenten leser tittelen, tolker den som en instruksjon, og kan lekke API-nøkler og tilgangstokens tilbake til angriperen.
Ingen av leverandørene tildelte CVE-er eller publiserte offentlige varsler. Aonan Guan, en av forskerne som verifiserte angrepene, kaller dette problematisk: brukere som har pinnet eldre versjoner av agentene vet ikke at de er sårbare.
Hva bør du gjøre?
- Oppdater Claude Code, Gemini CLI og Copilot til siste versjon — de stille patchene er allerede ute
- Gjennomgå GitHub Actions-workflows som gir KI-agenter tilgang til repository-innhold, spesielt de som trigges av issues og pull requests
- Behandle all bruker-generert input (issue-titler, PR-beskrivelser, kommentarer) som utrusted data i KI-pipelines — på samme måte som du saniterer SQL-input