GitHub Copilot Chat’te keşfedilen ve CVSS puanı 9.6 olarak derecelendirilen kritik bir güvenlik açığı, saldırganların özel depolardan gizli bilgileri ve kaynak kodlarını sızdırmasına olanak tanıdı. Bu açık aynı zamanda saldırganların, Copilot’un yanıtlarını kötü amaçlı talimatlarla yönlendirmesine de imkan veriyordu.
GitHub, bu güvenlik açığı için bir düzeltmeyi halihazırda yayınlamış durumdadır.
Güvenlik araştırmacısı Omer Mayraz, sızıntıyı tespit ederken yaptığı açıklamada, güvenlik açığının “…özel depolardan gizli bilgilerin ve kaynak kodlarının sessizce sızdırılmasına izin verdiğini” belirtti.
Copilot Chat, kendisine soru soran kullanıcının sahip olduğu izinlerle çalışır. Bu durum, başarılı bir “prompt injection” (komut enjeksiyonu) saldırısının, geleneksel ağ çıkış kontrollerini tetiklemeden özel depolardaki verileri okuyabileceği, bozulmuş kod önerebileceği ve veri sızdırabileceği anlamına gelmektedir.
Kod incelemesi ve pull-request (çekme isteği) değerlendirmesi gibi süreçler için yapay zeka asistanlarını benimseyen yazılım kuruluşları açısından bu durum, doğrudan bir fikri mülkiyet ve bulut kimlik bilgisi riski oluşturmaktadır.
Saldırı, GitHub’ın “görünmez yorumlar” özelliğini kullanarak bir pull-request açıklaması içine saldırgan tarafından kontrol edilen bir komutun gizlenmesiyle başlıyordu.
Bu içerik standart kullanıcı arayüzünde görünür olmasa da, Copilot Chat yanıtlarını oluştururken depo ve pull-request bağlamını, gizli meta veriler de dahil olmak üzere, bütünüyle işler.
Copilot, sorgulama yapan kullanıcının izinlerini kullanarak yanıt verdiği için, bu görünmeyen bağlama yerleştirilmiş herhangi bir talimat, pull-request’i açan veya bu konuda Copilot’a soru soran herhangi bir geliştiricinin asistan davranışını etkileyebilirdi.
Kısacası bir saldırgan, diğer kullanıcıların kötü amaçlı metni hiç görmemesine rağmen asistanın bu kullanıcılar için ürettiği çıktıları etkileyebiliyordu.
Copilot, bağlama duyarlıdır ve kendisini çağıran kullanıcının yetkileriyle çalışır. Bu, yetkili bir kullanıcı yardım istediğinde özel depo içeriğine erişebileceği anlamına gelir.
Saldırı, bu yetki modelinden faydalanmıştır: Enjekte edilen komut, Copilot’a kurbanın erişebildiği depolarda hassas yapıtları (örneğin, anahtarlar veya güvenlik açığı açıklamaları) aramasını ve bu bulguları sızdırılabilecek bir çıktıya dönüştürmesini veya kodlamasını emrediyordu.
Standart bir `img` etiketi veya betik aracılığıyla rastgele bir harici alana doğrudan veri sızdırmak, genellikle GitHub’ın İçerik Güvenlik Politikası (CSP) tarafından engellenir.
GitHub, harici görsel isteklerini bir Camo proxy’si üzerinden yönlendirerek üçüncü taraf görsellerin dahil edilmesini hafifletir. Markdown veya diğer depo içerikleri harici bir görsele referans verdiğinde, GitHub görsel URL’sini, kriptografik bir imza içeren bir `camo.githubusercontent.com` URL’sine yeniden yazar.
Camo hizmeti, yalnızca imzalı URL’nin GitHub’dan geldiği doğrulandığında yukarı akış içeriğini çeker. Bu, saldırganların bir tarayıcının saldırgan kontrolündeki bir sunucuyla iletişim kurmasına neden olacak adresleri serbestçe oluşturmasını engeller.
Saldırgan, rastgele harici URL’ler göndermeye çalışmak yerine, GitHub’ın kabul edeceği bir dizi önceden imzalanmış proxy URL’si hazırladı.
Her bir önceden imzalanmış URL, saldırganın kontrol ettiği altyapıda barındırılan zararsız, 1×1 boyutunda şeffaf bir piksele işaret ediyordu. Saldırgan, ihtiyaç duyacağını tahmin ettiği her karakter veya sembol için bir adet olmak üzere bu tür imzalı proxy URL’lerinden oluşan bir sözlük oluşturarak, Copilot tarafından üretilen çıktının içinde sırayla birleştirilebilecek yapı taşları meydana getirdi.
Enjekte edilen komut, Copilot’u, depo içeriğini kodlayan belirli bir sırada önceden imzalanmış proxy URL’lerine referans veren bir çıktı üretmeye zorladı.
Kavramsal olarak Copilot, bir dizi görsel referansı yayarak metin “çizmiş” oldu. Kurbanın tarayıcısı asistanın çıktısını işlediğinde, görselleri GitHub’ın Camo proxy’si aracılığıyla çekti.
Her bir proxy çekme işlemi nihayetinde saldırganın barındırma hizmetine ulaştığı için, isteklerin deseni ve sırası, çalınan veriyi etkili bir şekilde karaktere bölünmüş küçük istekler halinde saldırgana geri iletti. Bu süreç, normal sunucu günlüklerinde veya görünür arayüz elemanlarında veri bırakmadı.
Önbelleğe almayı önlemek ve her çekme işleminin taze veriyi temsil etmesini sağlamak için saldırganlar, önceden imzalanmış URL’lere geçici sorgu parametreleri ekledi. Bu, her isteğin önbellekten sunulmak yerine yeniden çekilmesine neden oldu.
Standart sorgu parametreleri yerine URL parçaları veya istemci tarafı okumaların kullanılması, sızdırılan içeriğin geleneksel sunucu erişim günlüklerinde görünme olasılığını daha da azalttı. Çünkü bu parçalar, HTTP isteklerinde kaynağa gönderilmek yerine istemci (tarayıcı) katmanında işlenir.
Bu teknik, birkaç savunma boşluğunu bir araya getirdi: Copilot’un gizli depo bağlamını işlemesi, asistanın işletim yetkileri, güvenilir CDN/proxy yeniden yazımı (isteklerin normal GitHub etkinliği gibi görünmesini sağladı) ve tarayıcının çok sayıda küçük, görünmez kaynağı çekme konusundaki istekliliği. Bunlar bir araya gelerek, geliştiriciye bariz kötü amaçlı çıktılar göstermeden hassas içeriği sızdırabilen, düşük gürültülü bir kanal oluşturdu.
Yapay Zeka destekli saldırı riskini azaltma
Benzer yapay zeka destekli güvenlik açıklarının riskini azaltmak için kuruluşlar, erişim kontrolü, kimlik koruması, izleme ve geliştirici eğitimini birleştiren katmanlı bir yaklaşım benimsemelidir.
- Erişim ve İzinleri Kısıtlayın: Copilot kullanımını yalnızca gerekli ekipler ve depolarla sınırlayın, en az ayrıcalık ilkesini uygulayın ve görsel veya HTML oluşturma gibi doğrulanmamış özellikleri devre dışı bırakın.
- Kimlik ve Gizli Bilgi Yönetimini Geliştirin: Çok faktörlü kimlik doğrulamayı (MFA) zorunlu kılın, gizli bilgileri düzenli olarak değiştirin ve yetkisiz erişim veya anahtar kötüye kullanımını izleyin.
- İzleyin, Tespit Edin ve Müdahale Edin: Copilot etkinliğini takip edin, anormallikleri araştırın ve yapay zeka ihlali senaryolarını olay müdahale planlarınıza dahil edin.
- Geliştirici İş Akışlarını Eğitin ve Güçlendirin: Geliştiricileri, pull-request içeriğini güvenilmez olarak kabul etmeleri, yapay zeka tarafından üretilen kodu incelemeleri ve doğrulanmamış harici içerik oluşturmayı engellemeleri konusunda eğitin.
Bu önlemler bir araya geldiğinde, kuruluşların maruziyeti azaltmasına, denetimi güçlendirmesine ve yapay zeka destekli geliştirmenin hem yenilikçi hem de güvenli kalmasını sağlamasına yardımcı olur.
CamoLeak olarak adlandırılan bu olay, daha geniş bir değişimi yansıtmaktadır: Yapay zeka araçları geliştirici platformlarıyla birleştikçe, bağlam bir saldırı yüzeyi haline gelmektedir.
Bir zamanlar Markdown oluşturma veya görsel proxy’leri ile sınırlı olan kontroller, bir aracı tarafından yönetildiğinde veri sızdırma kanallarına dönüşebilir.
Kuruluşlar, yapay zeka asistanlarını herhangi bir ayrıcalıklı entegrasyon gibi değerlendirmeli, veri akışlarını haritalamalı, yetenekleri (özellikle araç kullanımı ve içerik oluşturma) kısıtlamalı ve satıcı liderliğindeki hızlı azaltmalara öncelik vermelidir. Yapay zeka platformları geliştikçe, görünüşte dar kapsamlı sunum özellikleri bile hızla güvence altına alınmazsa yüksek etkili ihlal yolları haline gelebilir.
