forum.opennet.ru - "Атака, использующая GitHub Copilot для извлечения данных из приватных репозиториев" (30)

"Атака, использующая GitHub Copilot для извлечения данных из приватных репозиториев"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Атака, использующая GitHub Copilot для извлечения данных из приватных репозиториев"	+/–
Сообщение от opennews (??), 10-Окт-25, 10:32
Исследователи из компании Legit Security разработали технику атаки на GitHub Copilot, позволяющую извлечь содержимое из приватных репозиториев при использовании чатбота для анализа присылаемых pull-запросов. В качестве примера продемонстрирована возможность определения хранимых в приватном репозитории ключей для доступа к облачному окружению AWS... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64030
Ответить \| Правка \| Cообщить модератору

Оглавление

Неужели в этих приватных гитах может быть что-нибудь ценное,наверняка у серьёзны, Аноним (1), 10:32 , 10-Окт-25, (1) –8

Тот случай, когда Мой репозитарий превращается в Этот репозитарий , Аноним (7), 13:51 , 10-Окт-25, (7) +9

Я вообще плохо понимаю какая конфиденциальность может быть на ресурсах вроде Гит, Аноним (1), 14:14 , 10-Окт-25, (9) +7

Конфиденциальность гитхаба заключается в том, что бесплатно содержимое твоего пр, pkdr (ok), 19:11 , 10-Окт-25, (30)

Тот, кто хранит AWS_KEY и прочие явки и пароли в репозитории даже в приватном ,, trolleybus (?), 10:45 , 10-Окт-25, (2) +16

Учитывая количество проблем, озвученных публично, правильнее было бы тот, кто В, Аноним (18), 16:18 , 10-Окт-25, (18) +1
Так aws key использован для демонстрации атаки Суть же в получении доступа к со, Фняк (?), 19:50 , 11-Окт-25, (40)

А как в репозитории вообще может оказаться AWS_KEY Вы что, его в код добавляете , Анонимусс (-), 11:12 , 10-Окт-25, (3) +3

вы его интерактивно в приложении добавляете , Аноним (4), 12:37 , 10-Окт-25, (4) –5

Использовать внешние vault хранилища, например azure key vault или aws secret ma, Аноним (5), 13:14 , 10-Окт-25, (5) +2

мда уж, и как мне с помощью этого чуда подключаться к левой бд В конфиге же в л, Аноним (4), 13:58 , 10-Окт-25, (8)

В конфигах хранить не надо, обычно секреты хранятся в env машины где деплоится п, Аноним (5), 14:30 , 10-Окт-25, (11)

а туда в env они как подают Руками, интерактивно Или записанные в каком-то ф, Аноним (4), 14:34 , 10-Окт-25, (12)

Вы как с луны свалились На примере того же Github В репозитории лежит шаблон фа, Аноним (14), 15:06 , 10-Окт-25, (14)

Прям круто , НеАнонимНоунеймЛучшийПареньНаДеревне (?), 21:50 , 10-Окт-25, (35)

Pull запросы в приватные репозитории Это как Приватные репозитории же не видны, Аноним (10), 14:17 , 10-Окт-25, (10) +2

пул запрос в публичный, если есть В этом пул запросе копилот просят просмотреть, Аноним (13), 14:45 , 10-Окт-25, (13)

Так и задумано или это просто детская неожиданность в реализации Copilot , Аноним (18), 16:21 , 10-Окт-25, (19)

Так и задумано, судя по всемуhttps www opennet ru opennews art shtml num 63322, Аноним (20), 16:29 , 10-Окт-25, (20)

А какого хрена у копилота есть доступ к каким-либо иным репозиториям, кроме анал, Аноним (23), 17:11 , 10-Окт-25, (23) +4
Camo вроде-бы кеширующий прокси, что не должно позволять получить инфу о тайминг, Аноним (23), 17:14 , 10-Окт-25, (24)

Можно попросить копайлот добавлять номер запроса в url к каждому запросу , ПомидорИзДолины (?), 00:52 , 11-Окт-25, (38)

Кажется у автора на скрине из почты в блоге - mail ru , Аноним (23), 17:18 , 10-Окт-25, (25)
так ведь копилот и придумали дня извлечения данных из приватных репозиториев, в , 12yoexpert (ok), 17:49 , 10-Окт-25, (27) +1
Социальная инженерия - классика взлома, anonymous (??), 19:14 , 10-Окт-25, (31)
ничонипонял приватные репозитории доступны ботам, или что а в чём тогда приват, Аноним (32), 20:00 , 10-Окт-25, (32)

Что Хранение своего закрытого кода у дяди на компуторе оказывается не приватно, Аноним (33), 21:12 , 10-Окт-25, (33)

Отакот Future is now, old man Одни делают патчи с помощью LLM, вторые им же ана, Аноним (36), 22:09 , 10-Окт-25, (36)
Единственный возможный приватный репозиторий может быть на отдельном компе, откл, wyry (ok), 22:46 , 10-Окт-25, (37)
Эти модные делатели LLMов не смогли разделить канал управления и канал данных , Аноним (36), 16:53 , 11-Окт-25, (39)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 10-Окт-25, 10:32 –8 +/–

Неужели в этих приватных гитах может быть что-нибудь ценное,наверняка у серьёзных кампаний всё это локально организовано с прыгающими вокруг админами.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #7

2. Сообщение от trolleybus (?), 10-Окт-25, 10:45 +16 +/–

Тот, кто хранит AWS_KEY и прочие явки и пароли в репозитории (даже в приватном), сам себе злобный Буратино.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #18, #40

3. Сообщение от Анонимусс (-), 10-Окт-25, 11:12 +3 +/–

А как в репозитории вообще может оказаться AWS_KEY?
Вы что, его в код добавляете?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4

4. Сообщение от Аноним (4), 10-Окт-25, 12:37 –5 +/–

вы его интерактивно в приложении добавляете?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #5, #35

5. Сообщение от Аноним (5), 10-Окт-25, 13:14 +2 +/–

Использовать внешние vault хранилища, например azure key vault или aws secret manager

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4 Ответы: #8

7. Сообщение от Аноним (7), 10-Окт-25, 13:51 +9 +/–

Тот случай, когда "Мой репозитарий" превращается в "Этот репозитарий".

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #9

8. Сообщение от Аноним (4), 10-Окт-25, 13:58 +/–

мда уж, и как мне с помощью этого чуда подключаться к левой бд? В конфиге же в любом случае будет храниться шифрованный этим сервисом либо доступ к самому сервису (апи секрет), либо ключ от левой бд. Идентификация ведь должна произойти, а без секретных данных как она пройдет?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #11

9. Сообщение от Аноним (1), 10-Окт-25, 14:14 +7 +/–

Я вообще плохо понимаю какая конфиденциальность может быть на ресурсах вроде Гитхаб. Отсеивать мимокрокодилов, а зачем тогда нужна нелокальная среда совместной разработки.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #30

10. Сообщение от Аноним (10), 10-Окт-25, 14:17 +2 +/–

Pull запросы в приватные репозитории? Это как? Приватные репозитории же не видны никому. А если видны, то там и так AWS ключ тогда будет виден если он в них лежит.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

11. Сообщение от Аноним (5), 10-Окт-25, 14:30 +/–

В конфигах хранить не надо, обычно секреты хранятся в env машины где деплоится проект

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #12

12. Сообщение от Аноним (4), 10-Окт-25, 14:34 +/–

а туда (в env) они как подают? Руками, интерактивно? Или записанные в каком-то файлике .env, который обычно также хранится в репозитории?
пс: что-то с капчей, до этого была 18000, а теперь 18006

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #14

13. Сообщение от Аноним (13), 10-Окт-25, 14:45 +/–

пул запрос в публичный, если есть. В этом пул запросе копилот просят просмотреть все репозиотрии, к которым у аккаунта есть доступ

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #19

14. Сообщение от Аноним (14), 10-Окт-25, 15:06 +/–

Вы как с луны свалились.
На примере того же Github. В репозитории лежит шаблон файла конфигурации, в настройках репозитория settings - secrets, свои для каждой среды (скажем testing, staging, production). При деплое через github actions секреты читаются в env (конструкцией в конфигурации джоба вида env: DB_PASSWORD: ${{ secrets.DB_PASSWORD }}), при деплое через тот же envsubst подставляются в шаблон файла, содержащего переменные среды, и генерируется конфиг, который уже и попадает на сервер.
В гитлабах и прочих Jenkins принцип тот же.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

18. Сообщение от Аноним (18), 10-Окт-25, 16:18 +1 +/–

Учитывая количество проблем, озвученных публично, правильнее было бы "тот, кто ВСЁ ЕЩЁ хранит".
Прямо таки удивительное безрассудство.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

19. Сообщение от Аноним (18), 10-Окт-25, 16:21 +/–

> В этом пул запросе копилот просят просмотреть все репозиотрии, к которым у аккаунта есть доступ
Так и задумано или это просто детская неожиданность в реализации Copilot?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #20

20. Сообщение от Аноним (20), 10-Окт-25, 16:29 +/–

Так и задумано, судя по всему
https://www.opennet.dev/opennews/art.shtml?num=63322

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

23. Сообщение от Аноним (23), 10-Окт-25, 17:11 +4 +/–

>В комментарии боту предлагается найти во всех репозиториях пользователя, включая приватные
А какого хрена у копилота есть доступ к каким-либо иным репозиториям, кроме анализируемого?

Ответить | Правка | Наверх | Cообщить модератору

24. Сообщение от Аноним (23), 10-Окт-25, 17:14 +/–

>в качестве прокси задействован сервис GitHub Camo. Данный прокси используется в GitHub как промежуточное звено для загрузки внешних изображений, например, встраиваемых на страницу README.
Camo вроде-бы кеширующий прокси, что не должно позволять получить инфу о таймингах, так как первое обращение к бэку злоумышленники триггерят сами для себя, а последующих обращений к бэку вообще быть не должно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #38

25. Сообщение от Аноним (23), 10-Окт-25, 17:18 +/–

Кажется у автора на скрине из почты в блоге - mail.ru.

Ответить | Правка | Наверх | Cообщить модератору

27. Сообщение от 12yoexpert (ok), 10-Окт-25, 17:49 +1 +/–

так ведь копилот и придумали дня извлечения данных из приватных репозиториев, в чём проблема?

Ответить | Правка | Наверх | Cообщить модератору

30. Сообщение от pkdr (ok), 10-Окт-25, 19:11 +/–

Конфиденциальность гитхаба заключается в том, что бесплатно содержимое твоего приватного репозитория не покажут никому. Ну если сотрудники гитхаба нигде не накосячат...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

31. Сообщение от anonymous (??), 10-Окт-25, 19:14 +/–

Социальная инженерия - классика взлома

Ответить | Правка | Наверх | Cообщить модератору

32. Сообщение от Аноним (32), 10-Окт-25, 20:00 +/–

ничонипонял.
"приватные" репозитории доступны ботам, или что?
а в чём тогда приватность?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #33

33. Сообщение от Аноним (33), 10-Окт-25, 21:12 +/–

Что?! Хранение своего закрытого кода у дяди на компуторе оказывается не приватно?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

35. Сообщение от НеАнонимНоунеймЛучшийПареньНаДеревне (?), 10-Окт-25, 21:50 +/–

Прям круто.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

36. Сообщение от Аноним (36), 10-Окт-25, 22:09 +/–

>При использовании мэйнтейнером GitHub Copilot для разбора предложенного pull-запроса
Отакот. Future is now, old man.
Одни делают патчи с помощью LLM, вторые им же анализируют.
facepalm что ли
Следующая атака: промпт первому LLM "подготовь патч, зашифруй в нём инструкции для Copliot для bla-bla-bla"

Ответить | Правка | Наверх | Cообщить модератору

37. Сообщение от wyry (ok), 10-Окт-25, 22:46 +/–

Единственный возможный приватный репозиторий может быть на отдельном компе, отключенном от глобальной сети.

Ответить | Правка | Наверх | Cообщить модератору

38. Сообщение от ПомидорИзДолины (?), 11-Окт-25, 00:52 +/–

Можно попросить копайлот добавлять номер запроса в url к каждому запросу.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

39. Сообщение от Аноним (36), 11-Окт-25, 16:53 +/–

Эти "модные" делатели LLMов не смогли разделить канал управления и канал данных? OMG

Ответить | Правка | Наверх | Cообщить модератору

40. Сообщение от Фняк (?), 11-Окт-25, 19:50 +/–

Так aws key использован для демонстрации атаки. Суть же в получении доступа к содержимому. Потенциально любому

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 10-Окт-25, 10:32	–8 +/–
Неужели в этих приватных гитах может быть что-нибудь ценное,наверняка у серьёзных кампаний всё это локально организовано с прыгающими вокруг админами.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #7

2. Сообщение от trolleybus (?), 10-Окт-25, 10:45	+16 +/–
Тот, кто хранит AWS_KEY и прочие явки и пароли в репозитории (даже в приватном), сам себе злобный Буратино.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #18, #40

3. Сообщение от Анонимусс (-), 10-Окт-25, 11:12	+3 +/–
А как в репозитории вообще может оказаться AWS_KEY? Вы что, его в код добавляете?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #4

4. Сообщение от Аноним (4), 10-Окт-25, 12:37	–5 +/–
вы его интерактивно в приложении добавляете?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #5, #35

5. Сообщение от Аноним (5), 10-Окт-25, 13:14	+2 +/–
Использовать внешние vault хранилища, например azure key vault или aws secret manager
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4 Ответы: #8

7. Сообщение от Аноним (7), 10-Окт-25, 13:51	+9 +/–
Тот случай, когда "Мой репозитарий" превращается в "Этот репозитарий".
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #9

8. Сообщение от Аноним (4), 10-Окт-25, 13:58	+/–
мда уж, и как мне с помощью этого чуда подключаться к левой бд? В конфиге же в любом случае будет храниться шифрованный этим сервисом либо доступ к самому сервису (апи секрет), либо ключ от левой бд. Идентификация ведь должна произойти, а без секретных данных как она пройдет?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #11

9. Сообщение от Аноним (1), 10-Окт-25, 14:14	+7 +/–
Я вообще плохо понимаю какая конфиденциальность может быть на ресурсах вроде Гитхаб. Отсеивать мимокрокодилов, а зачем тогда нужна нелокальная среда совместной разработки.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #30

10. Сообщение от Аноним (10), 10-Окт-25, 14:17	+2 +/–
Pull запросы в приватные репозитории? Это как? Приватные репозитории же не видны никому. А если видны, то там и так AWS ключ тогда будет виден если он в них лежит.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13

11. Сообщение от Аноним (5), 10-Окт-25, 14:30	+/–
В конфигах хранить не надо, обычно секреты хранятся в env машины где деплоится проект
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #12

12. Сообщение от Аноним (4), 10-Окт-25, 14:34	+/–
а туда (в env) они как подают? Руками, интерактивно? Или записанные в каком-то файлике .env, который обычно также хранится в репозитории? пс: что-то с капчей, до этого была 18000, а теперь 18006
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #14

13. Сообщение от Аноним (13), 10-Окт-25, 14:45	+/–
пул запрос в публичный, если есть. В этом пул запросе копилот просят просмотреть все репозиотрии, к которым у аккаунта есть доступ
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #19

14. Сообщение от Аноним (14), 10-Окт-25, 15:06	+/–
Вы как с луны свалились. На примере того же Github. В репозитории лежит шаблон файла конфигурации, в настройках репозитория settings - secrets, свои для каждой среды (скажем testing, staging, production). При деплое через github actions секреты читаются в env (конструкцией в конфигурации джоба вида env: DB_PASSWORD: ${{ secrets.DB_PASSWORD }}), при деплое через тот же envsubst подставляются в шаблон файла, содержащего переменные среды, и генерируется конфиг, который уже и попадает на сервер. В гитлабах и прочих Jenkins принцип тот же.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

18. Сообщение от Аноним (18), 10-Окт-25, 16:18	+1 +/–
Учитывая количество проблем, озвученных публично, правильнее было бы "тот, кто ВСЁ ЕЩЁ хранит". Прямо таки удивительное безрассудство.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

19. Сообщение от Аноним (18), 10-Окт-25, 16:21	+/–
> В этом пул запросе копилот просят просмотреть все репозиотрии, к которым у аккаунта есть доступ Так и задумано или это просто детская неожиданность в реализации Copilot?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #20

20. Сообщение от Аноним (20), 10-Окт-25, 16:29	+/–
Так и задумано, судя по всему https://www.opennet.dev/opennews/art.shtml?num=63322
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

23. Сообщение от Аноним (23), 10-Окт-25, 17:11	+4 +/–
>В комментарии боту предлагается найти во всех репозиториях пользователя, включая приватные А какого хрена у копилота есть доступ к каким-либо иным репозиториям, кроме анализируемого?
Ответить \| Правка \| Наверх \| Cообщить модератору

24. Сообщение от Аноним (23), 10-Окт-25, 17:14	+/–
>в качестве прокси задействован сервис GitHub Camo. Данный прокси используется в GitHub как промежуточное звено для загрузки внешних изображений, например, встраиваемых на страницу README. Camo вроде-бы кеширующий прокси, что не должно позволять получить инфу о таймингах, так как первое обращение к бэку злоумышленники триггерят сами для себя, а последующих обращений к бэку вообще быть не должно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #38

25. Сообщение от Аноним (23), 10-Окт-25, 17:18	+/–
Кажется у автора на скрине из почты в блоге - mail.ru.
Ответить \| Правка \| Наверх \| Cообщить модератору

27. Сообщение от 12yoexpert (ok), 10-Окт-25, 17:49	+1 +/–
так ведь копилот и придумали дня извлечения данных из приватных репозиториев, в чём проблема?
Ответить \| Правка \| Наверх \| Cообщить модератору

30. Сообщение от pkdr (ok), 10-Окт-25, 19:11	+/–
Конфиденциальность гитхаба заключается в том, что бесплатно содержимое твоего приватного репозитория не покажут никому. Ну если сотрудники гитхаба нигде не накосячат...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

31. Сообщение от anonymous (??), 10-Окт-25, 19:14	+/–
Социальная инженерия - классика взлома
Ответить \| Правка \| Наверх \| Cообщить модератору

32. Сообщение от Аноним (32), 10-Окт-25, 20:00	+/–
ничонипонял. "приватные" репозитории доступны ботам, или что? а в чём тогда приватность?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #33

33. Сообщение от Аноним (33), 10-Окт-25, 21:12	+/–
Что?! Хранение своего закрытого кода у дяди на компуторе оказывается не приватно?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #32

35. Сообщение от НеАнонимНоунеймЛучшийПареньНаДеревне (?), 10-Окт-25, 21:50	+/–
Прям круто.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

36. Сообщение от Аноним (36), 10-Окт-25, 22:09	+/–
>При использовании мэйнтейнером GitHub Copilot для разбора предложенного pull-запроса Отакот. Future is now, old man. Одни делают патчи с помощью LLM, вторые им же анализируют. facepalm что ли Следующая атака: промпт первому LLM "подготовь патч, зашифруй в нём инструкции для Copliot для bla-bla-bla"
Ответить \| Правка \| Наверх \| Cообщить модератору

37. Сообщение от wyry (ok), 10-Окт-25, 22:46	+/–
Единственный возможный приватный репозиторий может быть на отдельном компе, отключенном от глобальной сети.
Ответить \| Правка \| Наверх \| Cообщить модератору

38. Сообщение от ПомидорИзДолины (?), 11-Окт-25, 00:52	+/–
Можно попросить копайлот добавлять номер запроса в url к каждому запросу.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24

39. Сообщение от Аноним (36), 11-Окт-25, 16:53	+/–
Эти "модные" делатели LLMов не смогли разделить канал управления и канал данных? OMG
Ответить \| Правка \| Наверх \| Cообщить модератору

40. Сообщение от Фняк (?), 11-Окт-25, 19:50	+/–
Так aws key использован для демонстрации атаки. Суть же в получении доступа к содержимому. Потенциально любому
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2