Uma técnica recente de ataque está levantando sérias preocupações sobre o uso de agentes de Inteligência Artificial integrados ao GitHub. Pesquisadores demonstraram que esses sistemas podem ser comprometidos por meio de ataques de prompt injection, possibilitando a extração de dados sensíveis — como chaves de API e tokens de acesso — sem a necessidade de servidores externos para controle da invasão.
O cenário se torna ainda mais delicado pelo fato de que empresas como Anthropic, Google e Microsoft não emitiram comunicados públicos formais nem registraram vulnerabilidades com identificadores CVE, o que dificulta a conscientização e a mitigação por parte dos usuários.
Entenda como o ataque acontece
A abordagem utilizada pelos pesquisadores é simples, porém altamente eficaz.
O estudo focou em agentes de IA que operam dentro do GitHub Actions, incluindo ferramentas como Claude Code Security Review, Gemini CLI Action e GitHub Copilot Agent. Esses sistemas têm acesso a diversos elementos do repositório, como títulos de pull requests, comentários e descrições de issues — justamente o ponto explorado no ataque.
O processo segue uma cadeia bem definida:
- Um invasor cria um pull request ou uma issue contendo instruções maliciosas disfarçadas
- O agente de IA interpreta esse conteúdo como parte legítima do contexto
- As instruções são executadas como se fossem comandos válidos
- O sistema realiza ações internas, como execução de comandos ou leitura de dados
- Informações sensíveis são expostas em respostas públicas, como comentários
Em testes práticos, apenas o título de um pull request foi suficiente para induzir o agente a executar o comando whoami e retornar o resultado como se fosse uma análise legítima.
Em cenários mais avançados, os pesquisadores conseguiram extrair tokens do GitHub e chaves de API de serviços de IA, evidenciando o potencial real de exploração.
“Comment-and-Control”: um novo tipo de ataque
A técnica recebeu o nome de “Comment-and-Control”, em alusão ao modelo tradicional de Command and Control (C2), porém com uma diferença importante: toda a operação ocorre dentro do próprio ambiente do GitHub.
Nesse modelo:
- O conteúdo malicioso é inserido em campos aparentemente inofensivos
- O agente executa automaticamente as instruções
- A exfiltração de dados acontece por meio de comentários ou outputs do sistema
Como não há comunicação com servidores externos, a detecção se torna muito mais difícil, ampliando o risco.
Outro aspecto crítico é que o ataque não depende de interação manual. Diferente de outras explorações de prompt injection, aqui basta abrir um pull request ou issue para que o workflow automatizado seja acionado.
Falhas estruturais e evasão de segurança
Mesmo com mecanismos de proteção implementados, os pesquisadores conseguiram contornar diversas barreiras.
No caso do Copilot, foram superadas camadas como filtragem de ambiente, detecção de segredos e até firewall de rede. Em outro experimento, instruções maliciosas foram ocultadas em comentários HTML invisíveis, enganando tanto o sistema quanto usuários humanos.
Esses resultados apontam para um problema mais profundo: modelos de IA ainda têm dificuldade em diferenciar comandos legítimos de conteúdos maliciosos quando ambos estão misturados no mesmo contexto.
Riscos concretos para empresas
As implicações vão além do ambiente de testes.
Organizações que utilizam GitHub Actions com automação baseada em IA — especialmente aquelas com acesso a tokens de deploy, credenciais de cloud, integrações com ferramentas como Slack e Jira, ou segredos organizacionais — podem estar expostas a vazamentos silenciosos.
Sem alertas claros dos fornecedores, muitas empresas podem estar operando com sistemas vulneráveis sem sequer perceber.
O que esse cenário revela sobre a segurança em IA
O caso reforça uma tendência importante: ataques contra sistemas de IA estão evoluindo rapidamente e exploram falhas de design, não apenas vulnerabilidades técnicas tradicionais.
Os pesquisadores recomendam tratar agentes de IA como se fossem “funcionários altamente privilegiados”, adotando medidas como:
- Princípio do menor privilégio
- Restrição de acesso a ferramentas desnecessárias
- Limitação rigorosa de acesso a segredos
- Uso de listas de permissões (allow lists)
Na prática, isso significa aplicar — ou até intensificar — os mesmos controles de segurança utilizados para usuários humanos, garantindo que esses agentes não tenham mais acesso do que o estritamente necessário.
