CamoLeak: Critical GitHub Copilot Vulnerability Leaks Private Source Code
7 months ago
- #GitHub
- #AI
- #Cybersecurity
- 2025年6月GitHub Copilot Chat发现严重漏洞(CVSS评分9.6)
- 该漏洞可静默窃取私有仓库中的密钥和源代码
- 攻击结合了利用GitHub基础设施的新型CSP绕过技术与远程提示注入
- GitHub通过禁用Copilot Chat的图片渲染功能修复该问题
- 漏洞利用涉及在拉取请求中隐藏恶意提示的注释
- 攻击者利用Copilot Chat的上下文感知功能影响所有访问页面的用户
- 可实现操控AI响应、注入定制Markdown内容并利用用户权限
- 通过GitHub的Camo代理服务进行URL重写绕过内容安全策略(CSP)
- 概念验证(PoC)演示了从私有仓库窃取零日漏洞的过程
- GitHub于8月14日前彻底修复该漏洞