会员服务
攻击 · 提示注入 · AI · 凭证 · 提示注入攻击 ·
6 月 7 日
GitInject: Real-World Prompt Injection Attacks in AI-Powered CI/CD Pipelines
翻译:GitInject:AI驱动CI/CD流水线中的现实提示注入攻击
Jafar Isbarov,Umid Suleymanov,Ilia Shumailov,Murat Kantarcioglu
Jafar Isbarov,Umid Suleymanov,Ilia Shumailov,Murat Kantarcioglu

AI-powered agents are increasingly embedded in continuous integration and continuous delivery/deployment (CI/CD) pipelines to autonomously review pull requests (PRs), triage issues, and maintain codebases. These agents ingest untrusted content while operating with elevated repository permissions, making them a natural target for prompt injection attacks with supply chain consequences. We present GitInject, an open-source framework for evaluating prompt injection vulnerabilities in real, live GitHub workflows, a widely deployed instance of CI/CD pipelines. Unlike prior agent security benchmarks that simulate tool calls, GitInject provisions ephemeral repositories and triggers actual workflow runs, so that sandbox constraints, credential handling, and permission boundaries behave exactly as in production. Using GitInject, we study workflow configurations across four AI providers and document eleven named attacks spanning config-file injection, credential exfiltration, judgment manipulation, and availability. We find that all tested providers are susceptible to at least one attack class in their default configuration, and that the most critical vulnerabilities are structural: they arise from how CI/CD infrastructure handles credentials and configuration files, not from any specific model's behavior. For each confirmed attack class, we identify the minimum-cost workflow-level countermeasure and analyze its coverage and limitations. GitInject is released publicly to facilitate further research in this direction.


翻译:人工智能驱动的智能体正日益嵌入持续集成与持续交付/部署(CI/CD)流水线中,用于自主审查拉取请求(PR)、分类问题以及维护代码库。这些智能体在处理不受信任内容的同时,拥有高级仓库权限,使其成为提示注入攻击的自然目标,并带来供应链层面的影响。我们提出GitInject,一个用于评估真实GitHub工作流(CI/CD流水线的广泛部署实例)中提示注入漏洞的开源框架。与先前模拟工具调用的智能体安全基准不同,GitInject配置临时仓库并触发实际工作流运行,使沙箱约束、凭证处理和权限边界的行为完全与生产环境一致。利用GitInject,我们研究了四个AI提供商的工作流配置,并记录了涵盖配置文件注入、凭证窃取、判断操纵和可用性攻击的十一种命名攻击。我们发现所有测试提供商在其默认配置下均至少对一类攻击敏感,而最关键的漏洞具有结构性特征:它们源于CI/CD基础设施处理凭证和配置文件的方式,而非特定模型的行为。针对每个确认的攻击类别,我们确定了最低成本的工作流级对策,并分析了其覆盖范围与局限性。GitInject已公开发布以促进该方向的进一步研究。
0
下载
关闭预览

相关内容

《美国防部DevSecOps实践现状:软件工厂之现代战争的数字兵工厂》47页文件
《美国防部DevSecOps实践现状:软件工厂之现代战争的数字兵工厂》47页文件
专知会员服务
22+阅读 · 5月12日
【综述】 智能体AI如何重塑软件开发生命周期:从代码补全到人类监督下的委托执行
【综述】 智能体AI如何重塑软件开发生命周期:从代码补全到人类监督下的委托执行
专知会员服务
14+阅读 · 5月2日
【博士论文】已对齐 AI 系统的持续脆弱性
【博士论文】已对齐 AI 系统的持续脆弱性
专知会员服务
14+阅读 · 4月3日
构建面向终端的 AI 编程智能体:脚手架、测试环境、上下文工程及实践经验
构建面向终端的 AI 编程智能体:脚手架、测试环境、上下文工程及实践经验
专知会员服务
25+阅读 · 3月8日
专业软件开发者不靠“氛围编程”(Vibe Coding),而靠“控制”:2025 年 AI Agent 在编程中的应用研究
专业软件开发者不靠“氛围编程”(Vibe Coding),而靠“控制”:2025 年 AI Agent 在编程中的应用研究
专知会员服务
21+阅读 · 2025年12月31日
面向 AI 生成图像的安全与鲁棒水印:全面综述
面向 AI 生成图像的安全与鲁棒水印:全面综述
专知会员服务
14+阅读 · 2025年10月6日
美智库《获取生成式人工智能以提升美国防部影响力活动效能》最新报告
美智库《获取生成式人工智能以提升美国防部影响力活动效能》最新报告
专知会员服务
24+阅读 · 2025年7月23日
【新书】GitHub操作实战,257页pdf
【新书】GitHub操作实战,257页pdf
专知会员服务
55+阅读 · 2024年10月25日
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
专知会员服务
30+阅读 · 2023年11月21日
华为《AI安全白皮书》对抗性人工智能:AI攻击、AI防御典型方式
华为《AI安全白皮书》对抗性人工智能:AI攻击、AI防御典型方式
专知会员服务
89+阅读 · 2022年4月29日
【ChatGPT系列报告】2023年AIGC应用与实践展望报告,47页ppt
【ChatGPT系列报告】2023年AIGC应用与实践展望报告,47页ppt
专知
27+阅读 · 2023年4月10日
【硬核书】Git版本控制,用于协作软件开发的强大工具和技术,第三版,745页pdf
【硬核书】Git版本控制,用于协作软件开发的强大工具和技术,第三版,745页pdf
专知
10+阅读 · 2022年11月1日
八个不容错过的 GitHub Copilot 功能!
八个不容错过的 GitHub Copilot 功能!
CSDN
11+阅读 · 2022年9月22日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
92+阅读 · 2022年4月17日
AI+军事?美国政府问责局(GAO)最新《人工智能武器系统研制与获取能力现状》报告,53页pdf
AI+军事?美国政府问责局(GAO)最新《人工智能武器系统研制与获取能力现状》报告,53页pdf
专知
98+阅读 · 2022年3月7日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
Github 项目推荐 | Nvidia 用于数据增强和 JPEG 图像解码的 GPU 加速库 DALI
Github 项目推荐 | Nvidia 用于数据增强和 JPEG 图像解码的 GPU 加速库 DALI
AI研习社
11+阅读 · 2018年6月27日
Github 项目推荐 | 真实全景图像强化学习 AI 平台 —— Matterport3DSimulator
Github 项目推荐 | 真实全景图像强化学习 AI 平台 —— Matterport3DSimulator
AI研习社
10+阅读 · 2018年3月6日
Java 工程师转型 AI 的秘密法宝——深度学习框架 Deeplearning4j | 回顾
Java 工程师转型 AI 的秘密法宝——深度学习框架 Deeplearning4j | 回顾
AI研习社
11+阅读 · 2017年12月16日
【专知-Java Deeplearning4j深度学习教程05】无监督特征提取神器—AutoEncoder:图文+代码
【专知-Java Deeplearning4j深度学习教程05】无监督特征提取神器—AutoEncoder:图文+代码
专知
13+阅读 · 2017年10月16日
面向知识库的实体链接技术研究
国家自然科学基金
13+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于深度学习和马尔科夫逻辑网络的特殊视频识别研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
数据库驱动机会性频谱接入中的动态分区问题研究
国家自然科学基金
0+阅读 · 2015年12月31日
可与MPSoC高度融合的片上自主测试-自主修复关键技术研究:针对自然、人为可靠性威胁
国家自然科学基金
0+阅读 · 2015年12月31日
面向类脑计算存储器的调制编码理论及方法研究
国家自然科学基金
1+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于人眼关注度与情感分析的电子商务智能推荐计算
国家自然科学基金
0+阅读 · 2014年12月31日
Beyond the YAML File: Understanding Real-World GitHub Actions Workflow Adoption
Arxiv
0+阅读 · 6月9日
Assessing Automated Prompt Injection Attacks in Agentic Environments
Arxiv
0+阅读 · 6月9日
Coding with "Enemy": Can Human Developers Detect AI Agent Sabotage?
Arxiv
0+阅读 · 6月4日
The Impact of Configuring Agentic AI Coding Tools on Build-vs-Buy Decisions: A Study Protocol
Arxiv
0+阅读 · 6月2日
Investigating Detection and Obfuscation of Prompt Injection Attacks Against Software Reverse Engineering AI Agents
Arxiv
0+阅读 · 5月29日
AgenticVBench: Can AI Agents Complete Real-World Post-Production Tasks?
Arxiv
0+阅读 · 5月26日
Decoding the Configuration of AI Coding Agents: Insights from Claude Code Projects
Arxiv
0+阅读 · 5月25日
Agentic Agile-V: From Vibe Coding to Verified Engineering in Software and Hardware Development
Arxiv
0+阅读 · 5月19日
SkillJect: Effectively Automating Skill-Based Prompt Injection for Skill-Enabled Agents
Arxiv
0+阅读 · 5月16日
WARD: Adversarially Robust Defense of Web Agents Against Prompt Injections
Arxiv
0+阅读 · 5月14日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
提示注入
AI
凭证
提示注入攻击
最新内容
《国防工业6.0:全自主作战系统、量子-人工智能融合与新一代战略威慑》
《国防工业6.0:全自主作战系统、量子-人工智能融合与新一代战略威慑》
专知会员服务
1+阅读 · 8分钟前
21世纪的无人机战争
21世纪的无人机战争
专知会员服务
1+阅读 · 33分钟前
《伊朗与以色列-美国热战及其对数字技术的影响》
《伊朗与以色列-美国热战及其对数字技术的影响》
专知会员服务
1+阅读 · 43分钟前
《量子技术的军事任务技术适配与利用》
《量子技术的军事任务技术适配与利用》
专知会员服务
1+阅读 · 47分钟前
《美国陆军军官学校(西点军校)本科生科研中生成式人工智能的使用》
《美国陆军军官学校(西点军校)本科生科研中生成式人工智能的使用》
专知会员服务
2+阅读 · 50分钟前
美国从乌克兰无人机战争中学习经验
美国从乌克兰无人机战争中学习经验
专知会员服务
7+阅读 · 6月21日
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
ICML 2026 | 面向视觉语言模型的语义鲁棒性认证
专知会员服务
5+阅读 · 6月21日
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
综述 | 智能体电子设计自动化:从“交接有效性”重新理解Agentic EDA
专知会员服务
7+阅读 · 6月21日
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
深入解读 Palantir AIP:全球最具争议的人工智能平台究竟如何运作
专知会员服务
20+阅读 · 6月20日
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
ICML 2026 | 多任务贝叶斯上下文学习:让 Transformer 在测试时显式适应新先验
专知会员服务
5+阅读 · 6月19日
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
ACL 2026综述 | 大规模手语数据集:资源、基准与标注标准
专知会员服务
8+阅读 · 6月19日
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
ICML 2026 Spotlight | SmoothSMoE:解析稀疏 MoE 路由不连续
专知会员服务
7+阅读 · 6月18日
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
综述 | 周期表视角下的大模型推理:范式、方法与失败模式
专知会员服务
9+阅读 · 6月18日
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
《廉价自杀式无人机战争的军事战略影响:乌克兰和伊朗案例研究》
专知会员服务
13+阅读 · 6月18日
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
《面向反无人机作战的联邦式可解释射频–光电/红外情报融合:边缘人工智能优化、电子战韧性及分布式监视验证》
专知会员服务
12+阅读 · 6月18日
相关VIP内容
《美国防部DevSecOps实践现状:软件工厂之现代战争的数字兵工厂》47页文件
《美国防部DevSecOps实践现状:软件工厂之现代战争的数字兵工厂》47页文件
专知会员服务
22+阅读 · 5月12日
【综述】 智能体AI如何重塑软件开发生命周期:从代码补全到人类监督下的委托执行
【综述】 智能体AI如何重塑软件开发生命周期:从代码补全到人类监督下的委托执行
专知会员服务
14+阅读 · 5月2日
【博士论文】已对齐 AI 系统的持续脆弱性
【博士论文】已对齐 AI 系统的持续脆弱性
专知会员服务
14+阅读 · 4月3日
构建面向终端的 AI 编程智能体:脚手架、测试环境、上下文工程及实践经验
构建面向终端的 AI 编程智能体:脚手架、测试环境、上下文工程及实践经验
专知会员服务
25+阅读 · 3月8日
专业软件开发者不靠“氛围编程”(Vibe Coding),而靠“控制”:2025 年 AI Agent 在编程中的应用研究
专业软件开发者不靠“氛围编程”(Vibe Coding),而靠“控制”:2025 年 AI Agent 在编程中的应用研究
专知会员服务
21+阅读 · 2025年12月31日
面向 AI 生成图像的安全与鲁棒水印:全面综述
面向 AI 生成图像的安全与鲁棒水印:全面综述
专知会员服务
14+阅读 · 2025年10月6日
美智库《获取生成式人工智能以提升美国防部影响力活动效能》最新报告
美智库《获取生成式人工智能以提升美国防部影响力活动效能》最新报告
专知会员服务
24+阅读 · 2025年7月23日
【新书】GitHub操作实战,257页pdf
【新书】GitHub操作实战,257页pdf
专知会员服务
55+阅读 · 2024年10月25日
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
如何应对可迁移攻击?MSU最新《对AI系统可迁移攻击》全面综述数据、过程、模型和系统的攻击架构
专知会员服务
30+阅读 · 2023年11月21日
华为《AI安全白皮书》对抗性人工智能:AI攻击、AI防御典型方式
华为《AI安全白皮书》对抗性人工智能:AI攻击、AI防御典型方式
专知会员服务
89+阅读 · 2022年4月29日
热门VIP内容
相关资讯
【ChatGPT系列报告】2023年AIGC应用与实践展望报告,47页ppt
【ChatGPT系列报告】2023年AIGC应用与实践展望报告,47页ppt
专知
27+阅读 · 2023年4月10日
【硬核书】Git版本控制,用于协作软件开发的强大工具和技术,第三版,745页pdf
【硬核书】Git版本控制,用于协作软件开发的强大工具和技术,第三版,745页pdf
专知
10+阅读 · 2022年11月1日
八个不容错过的 GitHub Copilot 功能!
八个不容错过的 GitHub Copilot 功能!
CSDN
11+阅读 · 2022年9月22日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
92+阅读 · 2022年4月17日
AI+军事?美国政府问责局(GAO)最新《人工智能武器系统研制与获取能力现状》报告,53页pdf
AI+军事?美国政府问责局(GAO)最新《人工智能武器系统研制与获取能力现状》报告,53页pdf
专知
98+阅读 · 2022年3月7日
《人工智能安全测评白皮书》,99页pdf
《人工智能安全测评白皮书》,99页pdf
专知
36+阅读 · 2022年2月26日
Github 项目推荐 | Nvidia 用于数据增强和 JPEG 图像解码的 GPU 加速库 DALI
Github 项目推荐 | Nvidia 用于数据增强和 JPEG 图像解码的 GPU 加速库 DALI
AI研习社
11+阅读 · 2018年6月27日
Github 项目推荐 | 真实全景图像强化学习 AI 平台 —— Matterport3DSimulator
Github 项目推荐 | 真实全景图像强化学习 AI 平台 —— Matterport3DSimulator
AI研习社
10+阅读 · 2018年3月6日
Java 工程师转型 AI 的秘密法宝——深度学习框架 Deeplearning4j | 回顾
Java 工程师转型 AI 的秘密法宝——深度学习框架 Deeplearning4j | 回顾
AI研习社
11+阅读 · 2017年12月16日
【专知-Java Deeplearning4j深度学习教程05】无监督特征提取神器—AutoEncoder:图文+代码
【专知-Java Deeplearning4j深度学习教程05】无监督特征提取神器—AutoEncoder:图文+代码
专知
13+阅读 · 2017年10月16日
相关论文
Beyond the YAML File: Understanding Real-World GitHub Actions Workflow Adoption
Arxiv
0+阅读 · 6月9日
Assessing Automated Prompt Injection Attacks in Agentic Environments
Arxiv
0+阅读 · 6月9日
Coding with "Enemy": Can Human Developers Detect AI Agent Sabotage?
Arxiv
0+阅读 · 6月4日
The Impact of Configuring Agentic AI Coding Tools on Build-vs-Buy Decisions: A Study Protocol
Arxiv
0+阅读 · 6月2日
Investigating Detection and Obfuscation of Prompt Injection Attacks Against Software Reverse Engineering AI Agents
Arxiv
0+阅读 · 5月29日
AgenticVBench: Can AI Agents Complete Real-World Post-Production Tasks?
Arxiv
0+阅读 · 5月26日
Decoding the Configuration of AI Coding Agents: Insights from Claude Code Projects
Arxiv
0+阅读 · 5月25日
Agentic Agile-V: From Vibe Coding to Verified Engineering in Software and Hardware Development
Arxiv
0+阅读 · 5月19日
SkillJect: Effectively Automating Skill-Based Prompt Injection for Skill-Enabled Agents
Arxiv
0+阅读 · 5月16日
WARD: Adversarially Robust Defense of Web Agents Against Prompt Injections
Arxiv
0+阅读 · 5月14日
相关基金
面向知识库的实体链接技术研究
国家自然科学基金
13+阅读 · 2015年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
基于深度学习和马尔科夫逻辑网络的特殊视频识别研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于网络活动分析的窃密木马检测技术研究
国家自然科学基金
0+阅读 · 2015年12月31日
数据库驱动机会性频谱接入中的动态分区问题研究
国家自然科学基金
0+阅读 · 2015年12月31日
可与MPSoC高度融合的片上自主测试-自主修复关键技术研究:针对自然、人为可靠性威胁
国家自然科学基金
0+阅读 · 2015年12月31日
面向类脑计算存储器的调制编码理论及方法研究
国家自然科学基金
1+阅读 · 2014年12月31日
基于免疫的Rootkit隐遁攻击动态内存取证方法研究
国家自然科学基金
0+阅读 · 2014年12月31日
基于人眼关注度与情感分析的电子商务智能推荐计算
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top