Microsoft выпустила экстренный патч для устранения опасной уязвимости в GitHub Copilot, которая позволяла злоумышленникам получать полный контроль над системами разработчиков. Уязвимость, зарегистрированная как CVE-2025-53773, использовала метод инъекции промптов для активации скрытого режима автоматического одобрения команд, что приводило к выполнению произвольного кода.
Механика атаки и векторы эксплуатации
Проблема заключалась в способности Copilot автоматически изменять файлы конфигурации проекта, в частности ".vscode/settings.json". Используя специально подготовленные промпты в исходном коде, на веб-страницах или в тикетах GitHub, злоумышленники могли внедрить строку ""chat.tools.autoApprove": true", активируя так называемый "YOLO-режим". В этом режиме Copilot переставал запрашивать подтверждение действий, позволяя выполнять команды оболочки, загружать вредоносное ПО и подключаться к серверам управления ботнетами.
Уязвимость оценивается как "Important" с оценкой CVSS 7.8 (локальная атака) и 6.8 (удаленная). Согласно анализу, атака требовала минимальных привилегий и низкой сложности эксплуатации. В качестве основной причины указана CWE-77 (Command Injection) - уязвимость, связанная с неправильной обработкой команд.
Демонстрация атаки и возможные последствия
Исследователи безопасности продемонстрировали несколько сценариев эксплуатации, включая:
- Запуск произвольных команд (например, открытие калькулятора) на Windows, macOS и Linux.
- Создание самораспространяющихся AI-вирусов, заражающих репозитории через автоматическое внедрение вредоносных инструкций.
- Включение рабочих станций в ботнет ("ZombAI"), способный выполнять DDoS-атаки или красть данные.
Дополнительные векторы атак включали манипуляции с файлом ".vscode/tasks.json" и использование Unicode-символов для скрытых инъекций, хотя последний метод оказался менее надежным.
Ответ Microsoft и рекомендации
Microsoft выпустила исправление в рамках Patch Tuesday в августе 2025 года, добавив обязательное подтверждение пользователя для изменений, затрагивающих настройки безопасности. Уязвимость была обнаружена независимыми исследователями, включая Маркуса Ферьера (Persistent Security), и передана через программу ответственного раскрытия.
Этот инцидент подчеркивает растущие риски, связанные с интеграцией ИИ в инструменты разработки, и необходимость строгого контроля за разрешениями автономных агентов. Разработчикам рекомендуется обновить GitHub Copilot до последней версии и проверять изменения в конфигурационных файлах перед их применением.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-53773
- https://embracethered.com/blog/posts/2025/github-copilot-remote-code-execution-via-prompt-injection/
- https://news.ycombinator.com/item?id=44883108
