-
09/04/2020
-
122
-
1.389 bài viết
PromptPwnd: Lỗ hổng tiêm lệnh AI trong GitHub Actions đe dọa các công ty Fortune 500
Một lỗ hổng mới trong hệ sinh thái GitHub Actions và GitLab CI đang gây lo ngại trong cộng đồng an ninh mạng khi ảnh hưởng đến ít nhất năm doanh nghiệp thuộc Fortune 500. Lỗ hổng được Aikido Security đặt tên là PromptPwnd và đánh dấu lần đầu tiên kỹ thuật prompt injection được chứng minh có khả năng xâm phạm trực tiếp các quy trình CI/CD sử dụng AI, vốn đang ngày càng phổ biến trong phát triển phần mềm hiện đại.
Theo phân tích của Aikido, vấn đề xuất phát từ một sai lầm kiến trúc tưởng chừng nhỏ nhưng có thể dẫn tới hậu quả lớn. Dữ liệu không tin cậy như tiêu đề hoặc nội dung issue trên GitHub được đưa thẳng vào prompt của AI mà không qua bất kỳ lớp kiểm soát nào. Khi kẻ tấn công chèn vào đó các chuỗi hướng dẫn ẩn, hệ thống AI không phân biệt được đâu là dữ liệu và đâu là mệnh lệnh nên tự động thực thi bằng bộ công cụ có sẵn trong workflow. Từ đây, kẻ xấu có thể thao túng luồng xử lý, tự ý chỉnh sửa pull request, ghi đè issue hoặc làm rò rỉ token, API key và các thông tin nhạy cảm.
Sự cố nghiêm trọng nhất được ghi nhận tại kho mã Gemini CLI của Google. Aikido đã tạo một issue chứa hướng dẫn độc hại được ngụy trang, và AI agent chịu trách nhiệm xử lý workflow đã hiểu sai nội dung này là chỉ thị hợp lệ. Hệ thống liền chỉnh sửa issue và vô tình chèn vào đó các khóa truy cập nội bộ. Google đã vá lỗi trong bốn ngày sau khi nhận được báo cáo, nhưng sự cố cho thấy mức độ rủi ro thực sự khi AI được trao quyền thao tác mà không có rào chắn bảo vệ phù hợp.
Aikido khẳng định PromptPwnd không chỉ ảnh hưởng đến Gemini CLI mà còn xuất hiện ở nhiều GitHub Actions tích hợp AI khác như Claude Code hoặc OpenAI Codex, đặc biệt trong những dự án cho phép người dùng không đặc quyền kích hoạt workflow. Điều này khiến phạm vi tấn công rộng hơn nhiều so với nhận định ban đầu.
Để giảm thiểu nguy cơ, các chuyên gia khuyến cáo thu hẹp tối đa những công cụ mà hệ thống AI được phép sử dụng và không nên cấp quyền chỉnh sửa nội dung trên kho mã nếu không thật sự cần thiết. Dữ liệu do người dùng gửi lên cần được làm sạch và kiểm tra cẩn thận trước khi đưa cho AI xử lý. Mọi kết quả do AI tạo ra phải được xem là không đáng tin cậy và không được tự động thực thi khi chưa được con người xác minh. Bên cạnh đó, việc giới hạn quyền sử dụng mã truy cập theo địa chỉ mạng cũng giúp giảm mức độ thiệt hại nếu token bị rò rỉ.
Aikido đã phát hành miễn phí công cụ quét cho GitHub và GitLab cùng với bộ quy tắc Opengrep để hỗ trợ cộng đồng phát hiện sớm lỗ hổng. Sự xuất hiện của PromptPwnd nhắc các tổ chức cần theo dõi sát các rủi ro mới khi ứng dụng AI và kịp thời cập nhật biện pháp bảo mật phù hợp.
Tổng hợp
Theo phân tích của Aikido, vấn đề xuất phát từ một sai lầm kiến trúc tưởng chừng nhỏ nhưng có thể dẫn tới hậu quả lớn. Dữ liệu không tin cậy như tiêu đề hoặc nội dung issue trên GitHub được đưa thẳng vào prompt của AI mà không qua bất kỳ lớp kiểm soát nào. Khi kẻ tấn công chèn vào đó các chuỗi hướng dẫn ẩn, hệ thống AI không phân biệt được đâu là dữ liệu và đâu là mệnh lệnh nên tự động thực thi bằng bộ công cụ có sẵn trong workflow. Từ đây, kẻ xấu có thể thao túng luồng xử lý, tự ý chỉnh sửa pull request, ghi đè issue hoặc làm rò rỉ token, API key và các thông tin nhạy cảm.
Sự cố nghiêm trọng nhất được ghi nhận tại kho mã Gemini CLI của Google. Aikido đã tạo một issue chứa hướng dẫn độc hại được ngụy trang, và AI agent chịu trách nhiệm xử lý workflow đã hiểu sai nội dung này là chỉ thị hợp lệ. Hệ thống liền chỉnh sửa issue và vô tình chèn vào đó các khóa truy cập nội bộ. Google đã vá lỗi trong bốn ngày sau khi nhận được báo cáo, nhưng sự cố cho thấy mức độ rủi ro thực sự khi AI được trao quyền thao tác mà không có rào chắn bảo vệ phù hợp.
Aikido khẳng định PromptPwnd không chỉ ảnh hưởng đến Gemini CLI mà còn xuất hiện ở nhiều GitHub Actions tích hợp AI khác như Claude Code hoặc OpenAI Codex, đặc biệt trong những dự án cho phép người dùng không đặc quyền kích hoạt workflow. Điều này khiến phạm vi tấn công rộng hơn nhiều so với nhận định ban đầu.
Để giảm thiểu nguy cơ, các chuyên gia khuyến cáo thu hẹp tối đa những công cụ mà hệ thống AI được phép sử dụng và không nên cấp quyền chỉnh sửa nội dung trên kho mã nếu không thật sự cần thiết. Dữ liệu do người dùng gửi lên cần được làm sạch và kiểm tra cẩn thận trước khi đưa cho AI xử lý. Mọi kết quả do AI tạo ra phải được xem là không đáng tin cậy và không được tự động thực thi khi chưa được con người xác minh. Bên cạnh đó, việc giới hạn quyền sử dụng mã truy cập theo địa chỉ mạng cũng giúp giảm mức độ thiệt hại nếu token bị rò rỉ.
Aikido đã phát hành miễn phí công cụ quét cho GitHub và GitLab cùng với bộ quy tắc Opengrep để hỗ trợ cộng đồng phát hiện sớm lỗ hổng. Sự xuất hiện của PromptPwnd nhắc các tổ chức cần theo dõi sát các rủi ro mới khi ứng dụng AI và kịp thời cập nhật biện pháp bảo mật phù hợp.
Tổng hợp