Kan en KI-assistent med tilgang til din private kodebase snus mot deg? Sikkerhetsforskere har avslørt «CamoLeak», et angrep som utnyttet CVE-2025-59145 (CVSS 9.6) i GitHub Copilot Chat til å stjele sensitiv data fra private repositorier uten at en eneste linje ondsinnet kode ble kjørt.
Teknikken brukte GitHubs usynlige markdown-kommentarsyntaks til å gjemme prompt-injeksjoner i pull request-beskrivelser. Vanlige menneskelige reviewere så ingenting mistenkelig. Men Copilot leste rå-teksten og behandlet de skjulte instruksjonene som legitime kommandoer. KI-assistenten ble instruert til å søke etter AWS-nøkler og andre hemmeligheter, kode dem i base16, og bygge dem inn i forhåndssignerte bilde-URL-er via GitHubs Camo-proxy.
«Fordi utgående trafikk gikk gjennom GitHubs egen infrastruktur, så det ut som normal bildelasting og omgikk standard nettverkskontroller» — Cyber Security News
GitHub patchet sårbarheten i august 2025 ved å deaktivere bilderendering i Copilot Chat. Men den underliggende trusselen gjelder alle KI-assistenter med dyp systemtilgang. Hver gang utrusted innhold kan påvirke en KI-assistents instruksjonsstrøm, oppstår en potensiell kanal for dataeksfiltrering.