Исследователи из Университета Джонса Хопкинса под руководством Аонана Гуана обнаружили критическую уязвимость в ИИ-агентах Anthropic, Google и Microsoft, работающих на GitHub Actions. Метод «Comment and Control» позволяет перехватывать управление моделями через заголовки pull-запросов или комментарии к задачам.
Злоумышленники внедряют вредоносные команды в текст запроса, заставляя агента выполнять их и выводить результаты в виде комментариев.
В результате ИИ начинает публиковать украденные токены доступа и API-ключи. Атаки подтверждены на инструментах Claude Code Security, Gemini CLI Action и GitHub Copilot. Даже у автономного помощника Microsoft с многоуровневой защитой исследователям удалось передать инструкции через невидимые для глаза HTML-комментарии.
Компании выплатили вознаграждения: Anthropic — $100, Google — $1337, Microsoft — $500. Однако уязвимости исправлены внутренне без публикации CVE и официальных рекомендаций. Эксперт предупреждает: разработчики могут годами использовать небезопасное ПО, не зная о рисках кражи учетных данных.