5月27日,安全公司Legit Security发布报告指出,GitLab的AI助手GitLab Duo存在一处严重的提示词注入漏洞。该漏洞允许黑客通过嵌入特定提示指令,使GitLab Duo生成任意内容。
资料显示,GitLab Duo是基于Anthropic公司的Claude大语言模型开发的AI工具,自2023年6月推出以来,已集成包括代码建议、代码审查和合并请求分析等功能。2024年4月,该工具还新增了Duo Chat聊天机器人功能,支持开发者以自然语言进行交互。
根据Legit Security的报告,研究人员在GitLab Duo中发现一处远程提示注入漏洞。攻击者可预先在GitLab项目中植入恶意提示内容,并通过多种方式绕过安全检测:如使用Unicode夹带技术、Base16编码以及KaTeX渲染机制来隐藏恶意代码。
该漏洞可能引发多种安全风险,包括:
- 篡改Duo生成的代码建议,例如植入恶意JavaScript包;
- 在AI响应中嵌入钓鱼链接;
- 导致系统误判恶意合并请求为安全。
今年2月,Legit Security已将此漏洞通报给GitLab。经过确认后,GitLab团队迅速采取行动完成修复工作。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
相关文章
一站式AI工具导航平台!汇聚超800+免费AI工具,涵盖AI写作、智能绘画、论文生成、视频制作、编程辅助、音频处理等全场景工具。每日更新热门 AIGC工具(如 Sora、AI Agent),助您快速找到提升办公、创作、学习效率的实用工具!立即访问ai-nav.net,探索 AI 新可能!