كشفت شركة Aikido Security عن فئة خطيرة من الثغرات السيبرانية التي تؤثر على وكلاء الذكاء الاصطناعي المستخدمين ضمن عمليات GitHub Actions وGitLab CI/CD. تتيح هذه الثغرة، التي أطلق عليها اسم PromptPwnd، للمهاجمين استغلال مدخلات غير موثوقة مثل عناوين البلاغات أو محتوى طلبات الدمج، لخداع نماذج الذكاء الاصطناعي وتشغيل أوامر حساسة قد تؤدي إلى تسريب رموز الدخول أو تعديل سير العمل البرمجي.
أحد أبرز ضحايا هذا الهجوم كان مستودع Google الخاص بأداة Gemini CLI، والذي استُهدف بإثبات مفهوم تضمن بلاغاً يحتوي على تعليمات خفية لتنفيذ أمر gh issue edit مع إدخال محتوى مفتاح Gemini API مباشرة في العلن. ورغم خطورة الثغرة، سارعت Google إلى معالجتها خلال 4 أيام فقط عبر برنامج مكافآت الثغرات المفتوحة المصدر.
يبدأ السيناريو عند دمج محتوى المستخدم الخام مثل ${{ github.event.issue.body }} في موجهات الذكاء الاصطناعي، لتوظيفها في مهام مثل فرز البلاغات أو تصنيف طلبات الدمج. غير أن هذا التكامل يتم ضمن بيئة عالية الامتيازات تتضمن أدوات مثل gh issue edit وأوامر قادرة على الوصول إلى رموز GITHUB_TOKEN ومفاتيح API ورموز سحابية أخرى.
ورغم أن بعض المهام داخل GitHub تتطلب صلاحيات كتابة لتفعيلها، فإن عدداً منها يطلق عند استقبال بلاغ من أي مستخدم، ما يوسع نطاق الهجوم المحتمل أمام جهات خارجية.
شملت الأدوات المستهدفة في هذا السياق كلاً من Gemini CLI وClaude Code من Anthropic وCodex من OpenAI، إضافة إلى GitHub AI Inference، حيث تنفذ النماذج تعليمات مباشرة قد تتضمن تسريبات أو تغييرات غير مصرح بها.
تعد الحادثة أول إثبات علني لهجوم من هذا النوع ينجح في اختراق عمليات التكامل والتسليم المستمر باستخدام حقن موجهات، وتأتي في أعقاب موجة من الهجمات على سلاسل الإمداد مثل Shai-Hulud 2.0، الذي استغل إعدادات خاطئة في GitHub Actions لسرقة بيانات اعتماد من مشروعات معروفة مثل AsyncAPI وPostHog.
وقد أجرت Aikido تجارب الهجوم باستخدام مستودعات فرعية غير حقيقية دون استخدام رموز حقيقية، ونشرت قواعد Opengrep مفتوحة المصدر لرصد هذه الأنماط، وهي متاحة عبر ماسحها المجاني.
لمنع هذه النوعية من الهجمات، توصي الشركة بعدد من الإجراءات الوقائية تشمل:
- منع أدوات الذكاء الاصطناعي من تعديل البلاغات أو الوصول إلى أوامر نظام التشغيل.
- تصفية المدخلات غير الموثوقة قبل تمريرها إلى النماذج
- التعامل مع كافة مخرجات الذكاء الاصطناعي باعتبارها تعليمات غير موثوقة
- حصر صلاحيات الرموز والبيانات الحساسة بحسب نطاق الشبكة باستخدام ميزات GitHub المناسبة
كما نبهت إلى خطورة الإعدادات الافتراضية في بعض الأدوات مثل allow-users: “” في Codex أو allowed_non_write_users: “” في Claude، والتي قد تزيد من خطر الاستغلال.
تعكس هذه الثغرة بداية حقبة جديدة من تهديدات سلسلة الإمداد المرتبطة بتقنيات الذكاء الاصطناعي، وتفرض على المؤسسات مراجعة تكاملاتها مع هذه النماذج بشكل فوري لتفادي تسريبات أو استحواذات غير مشروعة على مستودعاتها البرمجية.
