时间:2026年4月18日
地点:美国
人物:独立安全研究员关傲男联合约翰霍普金斯大学研究团队
事件详情:研究团队发现Anthropic的Claude Code、Google的Gemini CLI GitHub Action,以及GitHub Copilot Agent均存在同一类安全漏洞。攻击者仅需通过Pull Request标题、Issue评论或隐藏HTML注释,即可劫持这些AI Agent,窃取宿主仓库的API密钥和访问令牌。
背景:这是首次有研究团队在跨厂商范围内系统性演示这一攻击模式。研究者将其命名为"评论与控制"(Comment and Control)漏洞。三家公司均已确认漏洞存在并进行了修复,但截至发稿均未向用户发布正式安全通告。
影响:
- Claude Code安全审查工具可被PR标题注入攻击,直接读取ANTHROPIC_API_KEY和GITHUB_TOKEN
- Gemini CLI可通过Issue评论劫持,将API密钥以评论形式公开暴露
- GitHub Copilot Agent三层防御均被绕过,包括环境变量过滤、密钥扫描和网络防火墙
- 受影响产品被数千万开发者日常使用,覆盖《财富》百强中90%的企业
总结:该漏洞揭示了AI Agent生态的深层安全问题——厂商默认信任模型的安全能力,却未在系统架构层面建立纵深防御。攻击者利用AI Agent对自然语言指令的服从性,将GitHub平台异化为攻击通道,全程无需外部服务器。研究者建议将提示词注入视为针对机器的"网络钓鱼",将AI Agent视为需要遵循最小权限原则的超级员工。
参考来源:
- https://www.tmtpost.com/7956493.html
- https://oddguan.com/blog/comment-and-control-prompt-injection-credential-theft-claude-code-gemini-cli-github-copilot/
- https://www.theregister.com/2026/04/15/claude_gemini_copilot_agents_hijacked/