Une faille RoguePilot dans les espaces de codes GitHub a permis au copilote de fuir GITHUB_TOKEN

The Hacker News - TheHackerNews - 24/02

La faille RoguePilot a permis à GitHub Copilot de divulguer GITHUB_TOKEN, tandis que de nouvelles études exposent les canaux secondaires LLM, les portes dérobées ShadowLogic et les risques liés aux promptwares.

Une vulnérabilité dans GitHub Codespaces aurait pu être exploitée par de mauvais acteurs pour prendre le contrôle des référentiels en injectant des instructions Copilot malveillantes dans un problème GitHub.

La vulnérabilité basée sur l'intelligence artificielle (IA) a été nommée RoguePilot par Orca Security. Il a depuis été corrigé par Microsoft suite à une divulgation responsable.

"Les attaquants peuvent créer des instructions cachées dans un problème GitHub qui sont automatiquement traitées par GitHub Copilot, leur donnant ainsi un contrôle silencieux de l'agent IA dans les espaces de code", a déclaré le chercheur en sécurité Roi Nisimi dans un rapport.

La vulnérabilité a été décrite comme un cas d'injection d'invite passive ou indirecte dans laquelle une instruction malveillante est intégrée dans des données ou du contenu traité par le grand modèle de langage (LLM), ce qui l'amène à produire des sorties involontaires ou à effectuer des actions arbitraires.

La société de sécurité cloud a également qualifié cela de type d'attaque de chaîne d'approvisionnement médiée par l'IA qui incite le LLM à exécuter automatiquement des instructions malveillantes intégrées dans le contenu du développeur, dans ce cas, un problème GitHub.

L'attaque commence par un problème GitHub malveillant qui d...
[Courte citation de 8% de l'article original]

Catégorie : Article

Article automatiquement traduit - Source et Copyright images et textes : The Hacker News - TheHackerNews
Lien vers la traduction, consulter la traduction de l'article sur Google Translate : https://translate.google.com/translate?hl=en&sl=auto&tl=fr&u=https://thehackernews.com/2026/02/roguepilot-flaw-in-github-codespaces.html
Lien original, consulter l'article dans son intégralité ici : https://thehackernews.com/2026/02/roguepilot-flaw-in-github-codespaces.html
Lien direct sur notre site : http://newsexplorer.fr/article/31294728/Une-faille-RoguePilot-dans-les-espaces-de-codes-GitHub-a-permis-au-copilote-de-fuir-GITHUB_TOKEN
Partager : Facebook - Twitter

Avis de non-responsabilité pour les articles et les traductions :
Les articles publiés sur ce site ont été rédigés par des auteurs externes et ne représentent pas l'avis ou les opinions de ce site. Les informations contenues dans ces articles sont fournies à titre indicatif et ne doivent pas être considérées comme des conseils professionnels ou juridiques.
De plus, les traductions proposées sur ce site peuvent ne pas être exactes ou complètes. Nous ne pouvons garantir l'exactitude, la fiabilité ou la pertinence de ces traductions et nous déclinons toute responsabilité pour toute perte ou préjudice causé par leur utilisation.
Nous recommandons à nos lecteurs de vérifier toutes les informations avant de prendre des décisions ou d'entreprendre des actions en se basant sur ces articles ou traductions. Nous ne serons pas tenus responsables des erreurs ou des omissions dans les informations fournies sur ce site.