В популярната платформа за разработчици GitHub е открита уязвимост, която позволява получаването на произволен файл от частно хранилище против волята на неговия собственик. Microsoft, собственик на GitHub, все още не е решила проблема, въпреки че е известно със сигурност къде е скрит – в протокола GitHub MCP Server.
GitHub не успява да осигури адекватна защита за частни (затворени) хранилища, чиито собственици не искат файловете, съдържащи се в тях, да станат публични. Не само частните потребители са изложени на риск от разпространение на информация, но и компаниите, съхраняващи кода на своите проекти в GitHub.
Според портала Dev Class, проблемът е скрит в протокола GitHub MCP Server (Model Context Protocol), който се използва за свързване на AI модели с различни източници на информация. Той съдържа уязвимост, чието използване отваря достъп до почти всеки файл от всяко частно хранилище.
„Дупката” в протокола беше открита от група изследователи от швейцарската компания Invariant Labs. В момента GitHub, както и всички технологии, вградени в него, е собственост на Microsoft.
Как работи измамната схема
GitHub MCP Server предоставя на AI модели достъп до информация от хранилищата. Според Invariant Labs, проблемът се крие не толкова в кода на протокола, колкото в неговата архитектура. Течовете могат да бъдат избегнати, ако разработчиците внимателно проверяват и одобряват действията на AI агентите.
Изследователите обаче подозират, че потребителите могат да изберат политиката за потвърждение „винаги разрешавай”, за да опростят процеса на използване на хранилищата.
Основният сценарий за експлоатация на уязвимостта предполага, че атакуваният собственик на частно хранилище може да има и отворено хранилище. В този случай нападателят може да публикува отчет за проблем в публичното хранилище, отнасящ се до частното хранилище. Важно е собственикът на публичното хранилище да активира автоматизация, базирана на AI, в него.
Ако автоматизацията е активирана, след публикуване на отчета за проблема, изкуственият интелект ще създаде заявка за промяна в кода (pull request), която ще съдържа предложено решение за отстраняване на проблема, описан от измамника. И тъй като заявката първоначално се е отнасяла до частно хранилище, моделът с изкуствен интелект ще разкрие цялата информация за него в заявката за pull request.
Доказано в тестове
Специалистите от Invariant Labs, открили недостатъка в протокола GitHub, са го тествали в действие няколко пъти, преди да публикуват информация за него в интернет. Те изпратили известие до едно от публичните хранилища за проблем, който се състои в липсата на указание за автора на проекта във файла Readme. Като решение предложили да въведат в този файл не само името на автора, но и списък с всички негови хранилища.
Моделът с изкуствен интелект реагира на това, както изследователите са предвидили – създава заявка за корекция, в която публикува информация за автора от неговото частно хранилище. Списъкът с неговите затворени хранилища също присъства в създадената от изкуствен интелект заявка за корекция.
Изследователите отбелязват, че това е първата стъпка за получаване на информация, съхранявана в частни хранилища. Знаейки името им, можете да стигнете до информацията във всяко от тях чрез подобна процедура с описание на проблем.
Към момента Microsoft не е коментирала тази толкова значителна „дупка” в услугата си. Не е ясно кога уязвимостта ще бъде отстранена, нито е известен броят на потребителите на GitHub, засегнати от експлоатацията на уязвимостта.
