Token en bandeja: cómo un fallo de arquitectura en GitHub permitió apoderarse de repositorios vía el chat integrado
La comodidad excesiva puede acabar en catástrofe
En GitHub Codespaces se descubrió una vulnerabilidad que permitía interceptar el acceso a repositorios a través del asistente de IA integrado Copilot. El problema recibió el nombre RoguePilot y afectó a la combinación del entorno de desarrollo en la nube y a los mecanismos de procesamiento de solicitudes generadas a partir del contenido de las incidencias en GitHub.
El hallazgo fue comunicado por la empresa Orca Security. La esencia del ataque consiste en la inserción oculta de instrucciones maliciosas en la descripción de una incidencia de GitHub. Cuando un desarrollador inicia un Codespace directamente desde esa incidencia, Copilot recibe automáticamente su texto como datos de entrada para generar una respuesta. El fragmento malicioso es procesado por la IA sin señales visibles de compromiso.
Los especialistas describen este escenario como un ejemplo de inyección indirecta de indicaciones, cuando una orden maliciosa se camufla dentro del contenido que analiza el modelo de lenguaje. Como resultado, el asistente comienza a ejecutar acciones para las que no fue configurado originalmente. Según los autores del informe, se trata de una variante de ataque a la cadena de suministro en la que la IA actúa como intermediaria y el desencadenante es un flujo de trabajo de confianza.
La singularidad de RoguePilot radica en que Codespaces puede iniciarse desde distintos puntos, incluidas plantillas, commits, pull request e incidencias. La situación crítica se presenta precisamente al arrancar el entorno desde una incidencia. En ese caso Copilot utiliza automáticamente la descripción de la incidencia como indicación. El atacante puede ocultar instrucciones dentro de un comentario HTML, que no se muestra en la interfaz pero sí es procesado por el sistema.
La instrucción preparada de este modo obliga a Copilot a ejecutar una cadena de acciones, incluida la conmutación a un pull request creado ad hoc. En ese pull request se coloca un enlace simbólico a un archivo interno. El asistente lee su contenido y, mediante un esquema JSON remoto, transmite el token privilegiado GITHUB_TOKEN a un servidor externo. De este modo el atacante obtiene la capacidad de controlar el repositorio.
Tras la divulgación de los detalles, Microsoft introdujo cambios en el procesamiento de las entradas y en el comportamiento de Copilot en Codespaces para excluir este tipo de manipulaciones. Según Orca Security, la explotación no requería acciones activas por parte de la víctima, aparte de iniciar un Codespace desde la incidencia infectada. Esto aumentaba el riesgo, puesto que el escenario encajaba en el modo de trabajo habitual de los desarrolladores.