חשיפה: מתקפות הזרקת פקודות מאיימות על סוכני AI בצנרת הפיתוח

    6 בדצמ׳ 2025, 11:59חדשות3 מקורות

    חוקרי אבטחה חשפו פרצה חמורה במערכות CI/CD המשתמשות בסוכני AI, המאפשרת להזריק פקודות זדוניות באמצעות בקשות GitHub. ההתקפה, המכונה PromptPwnd, עלולה להוביל לביצוע פעולות מסוכנות כגון דליפת סודות או שינוי קוד. חברת Aikido Security דיווחה על הבעיה לגוגל והודיעה כי היא קיימת בכל מודלי ה-AI המובילים.

    חשיפה: מתקפות הזרקת פקודות מאיימות על סוכני AI בצנרת הפיתוח

    פרצת אבטחה קריטית בסוכני AI בצנרות CI/CD

    חוקרי אבטחה מ-Aikido Security חשפו פרצה מסוכנת בסוכני בינה מלאכותית המשולבים בצנרות פיתוח תוכנה אוטומטיות (CI/CD) בפלטפורמות כמו GitHub Actions ו-GitLab. הפרצה, המכונה PromptPwnd, מאפשרת לתוקפים להזריק פקודות זדוניות באמצעות תכנים כגון:

    • תיאורי Issues ב-GitHub
    • בקשות Pull Request (PR)
    • הודעות Commit

    כיצד עובדת המתקפה?

    ההתקפה מנצלת את העובדה שסוכני AI רבים (כולל Gemini CLI של גוגל, Claude Code, OpenAI Codex וכלי ההסקה של GitHub) קוראים תכנים ממשתמשים ללא בקרה מספקת. התוקף יכול להטמיע פקודות בתוך טקסטים תמימים לכאורה, שהמודל מפרש כהוראות תקפות.

    כאשר סוכן ה-AI מעבד את התכנים הללו:

    1. הפקודות הזדוניות מוזרקות ישירות ל-prompt של המודל.
    2. הסוכן מבצע את הפקודות עם הרשאות גבוהות.
    3. התוצאה: ביצוע פעולות מסוכנות ללא אימות.

    הסכנות העיקריות:

    • עריכה לא מורשית של קוד במאגרי קוד
    • גניבת סודות (API Keys, credentials)
    • פרסום תוכן זדוני ישירות בפלטפורמת GitHub
    • ביצוע פקודות shell עם הרשאות ניהול

    מדוע מדובר באיום חמור במיוחד?

    1. הרשאות גבוהות: לרוב מודלי ה-AI יש גישה לפעולות קריטיות במערכת.
    2. קושי בזיהוי: הפקודות מוסתרות בתוכן לגיטימי.
    3. מתקפה אוטומטית: ניתן לבצעה באמצעות ממשקי GitHub הרגילים.
    4. סיכון מעשי ומיידי: החוקרים הדגימו התקפות עובדות בפרויקטים אמיתיים.

    “זוהי אחת העדויות הראשונות המראות כי הזרקת prompt ל-AI עלולה לסכן ישירות workflows של GitHub Actions” – מסר החוקר הראשי מריין דאלמן.

    אילו כלים נפגעו?

    • Gemini CLI (גוגל) - תוקן לאחר דיווח
    • Claude Code Actions
    • OpenAI Codex Actions
    • GitHub AI Inference

    ההשלכות ארוכות הטווח

    החוקרים מדגישים כי מדובר בבעיה ארכיטקטונית ולא בבאג נקודתי:

    • מודלי LLM אינם מבחינים בין תוכן להוראות.
    • מנגנוני ההגנה הקיימים אינם מספיקים לסביבות CI/CD.
    • סיכון "שרשרת אספקה" חדש: התקפות באמצעות ספקים חיצוניים.

    דרכי התגוננות אפשריות:

    1. בידוד הרשאות: הגבלת הרשאות הסוכן למינימום ההכרחי.
    2. סינון תשומות: בדיקת תכנים חיצוניים לפני העברתם למודל.
    3. מערכות פיקוח: מעקב אחר פעולות הסוכן בזמן אמת.
    4. חינוך מפתחים: מודעות לסיכונים החדשים בסביבות AI.

    הממצאים מדגישים את הצורך בגישה אבטחתית חדשה לסביבות פיתוח המשולבות בבינה מלאכותית, תוך התמקדות בהגנה על שכבת הפעולות (agent layer) ולא רק בשכבת המודל עצמו.