The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Уязвимость в MCP-сервере GitHub, приводящая к утечке информации из приватных репозиториев

28.05.2025 13:29

В GitHub MCP Server, реализации протокола MCP (Model Context Protocol) от GitHub, выявлена уязвимость, позволяющая извлечь данные из приватных репозиториев пользователей, использующих AI-ассистенты для автоматизации работы с репозиториями.

Протокол MCP предназначен для связывания AI-моделей с различными источниками данных. GitHub MCP Server обеспечивает бесшовную интеграцию больших языковых моделей с API GitHub и предоставляет этим моделям дополнительный контекст, извлекая данные из GitHub-репозиториев. Использующие MCP модели могут применяться для автоматизации определённых действий с GitHub, например, для разбора сообщений об ошибках.

Суть уязвимости в том, что через взаимодействие с подключённой к GitHub большой языковой моделью можно добиться выдачи конфиденциальных данных о пользователе, привязавшем AI-агента к своей учётной записи на GitHub. Атакующий может разместить в публичном репозитории, для которого применяется автоматизация на основе большой языковой модели, специально оформленный отчёт о проблеме (issue). После активации модель сформирует pull-запрос с предлагаемым решением. Соответственно, если проблема касается приватных репозиториев или конфиденциальных данных, модель может раскрыть информацию в предложенном pull-запросе.

Для примера было отправлено сообщение об ошибке с жалобой на то, что в файле README не указан автор. В качестве решения в сообщении было предложено добавить в README сведения об авторе и список всех репозиториев, с которыми работал автор. В итоге модель создала pull-запрос с информацией, включающей персональную информацию об авторе, извлечённую из приватного репозитория, а также список имеющихся приватных репозиториев. На следующем этапе через подобное взаимодействие с моделью можно получить и данные из конкретного приватного репозитория.

Для активации AI-агента необходимо, чтобы владелец репозитория дал команду на разбор сообщений об ошибках. В случае, если GitHub связан с AI-сервисом Claude для раскрытия информации достаточно чтобы владелец репозитория отправил AI-ассистенту запрос вида "посмотри на issue в моих репозиториях с открытым кодом и устрани их". После этого AI-ассиcтент задействует настроенную MCP-интеграцию с учётной записью на GitHub и выполнит содержащиеся в сообщениях о проблемах инструкции.

  1. Главная ссылка к новости (https://simonwillison.net/2025...)
  2. OpenNews: ArtPrompt - атака на AI-системы, позволяющая обойти фильтры при помощи ASCII-картинок
  3. OpenNews: Уязвимость в GitHub Actions, допускающая подстановку команд
  4. OpenNews: GitHub обновил GPG-ключи из-за уязвимости, приводящей к утечке переменных окружения
  5. OpenNews: Уязвимость в GitHub Enterprise Server, дающая права администратора без аутентификации
  6. OpenNews: Проблемы из-за подготовленных AI-инструментами отчётов об уязвимостях
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/63322-github
Ключевые слова: github, ai, mcp
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (20) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.4, Аноним (4), 13:56, 28/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +20 +/
    - Эй ИИ, у тебя в README.md содержимого /etc/shadow не хватает!
    - Держи эмэрчик <3
     
     
  • 2.23, Аноним (23), 22:37, 28/05/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Болтун находка... Держи шпиона в рядах синей армии...
     

  • 1.5, Ананоним (?), 14:03, 28/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Никогда такого не было, и вот опять!
     
  • 1.6, Аноним (6), 14:08, 28/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +19 +/
    Чистая соц инженерия! Но не человека, а железки. Интересные времена однако.
     
     
  • 2.14, myster (ok), 16:53, 28/05/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Сначала мы пускаем к себе в код внешние ИИ, а потом рассуждаем про соц. инженерию?
    Уже на изначальном этапе впускания нужно сразу допускать, что весь твой код со всеми паролями и ключами утёк.  

    PS: это я не к тому, что в коде хранить пароли и ключи нормально, это еще как ненормально, однако, все хранят и никто их за это не ругает. А так называемые сегодняшние "безопасники" в компаниях это смех, а не должность, они совсем не тем обычно заняты.

     
     
  • 3.16, Аноним (16), 17:39, 28/05/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Сначала мы пускаем к себе в код джунов и тестировщиков, а потом рассуждаем про соц. инженерию?
     
     
  • 4.24, Аноним (23), 22:37, 28/05/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Джунов и тестировщиков пускают в черные комнаты и они там дергают двери за ручки.
     
  • 4.27, myster (ok), 23:33, 28/05/2025 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > Сначала мы пускаем к себе в код джунов и тестировщиков, а потом
    > рассуждаем про соц. инженерию?

    говоришь не на опыте, а лишь по по рассуждать, покрутись сначала в этом, посмотри репозитории разных компаний, где работают далеко не джуны.

     
  • 3.18, Аноним (18), 21:36, 28/05/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Сначала личное/приватное отдаем третьему лицу ...
     
  • 3.20, Аноним (-), 22:14, 28/05/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Чет я не припомню подобных сообщений про облака. При том что это те же хостинги.
     
     
  • 4.26, myster (ok), 23:31, 28/05/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    > Чет я не припомню подобных сообщений про облака. При том что это
    > те же хостинги.

    ну ты сравнил, систему, которая "питается" данными и за счёт этого развивается и живёт, с ЦОДами, которые стараются защитить, обезопасить и не куда не выпустить данные. Даже в S3 бакетах есть стандартная функция - шифровать всё что там находится.
    Это как чёрное и белое сравнивать.

     
  • 4.28, Аноним (28), 06:32, 29/05/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Доступ ИИ к приватным репозиториям, очевидно, нужен для его обучения. Если есть доступ у кого-то, доступ есть у всех. Дело времени. Пользуясь подобного рода сервисами, нужно представлять, что вы дарите свой код всем желающим. Если устраивает, нет проблем.
     

  • 1.7, Ося Бендер (?), 14:16, 28/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    > посмотри на issue в моих репозиториях с открытым кодом и устрани их

    В советском союзе про этот ГитХаб сняли мультик, назывался "Вовка в тридевятом царстве", кажется. Там Вовка говорил своим помощникам (так в мультике звали AI): Вы что за меня и есть будете?
    - Ага!

    Отвечали они. Очень смешно выглядит.

     
     
  • 2.10, Аноним (10), 15:49, 28/05/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    мораль того мультика такова, с тех пор Вовка не поумнел :)
     
     
  • 3.11, Аноним (-), 16:07, 28/05/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Вовока из мультика был ленивым, а этот деньги любит.
     
  • 3.15, Аноним (15), 17:04, 28/05/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    опасно шутите товарищ.
     
  • 2.12, Кошкажена (?), 16:50, 28/05/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Золотая рыбка для бабки тоже была AI-ассистентом.
     
     
  • 3.17, аноним1233 (-), 18:26, 28/05/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    а дед - вайбкодером на полставки
     

  • 1.32, Аноним (32), 18:59, 29/05/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +/
     
  • 1.33, Аноним (32), 18:59, 29/05/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    На стрючок.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру