Nieuws
image

"Comment and Control" aanval gebruikt GitHub-comments tegen AI-agents

donderdag 16 april 2026, 12:30 door Redactie, 7 reacties

AI-agents op GitHub kunnen via GitHub-comments worden overgenomen, zo melden onderzoekers in een blog post. De onderzoekers waarschuwen dat de aanval, die ze 'Comment and Control' noemen, kan worden gebruikt om API-keys en access tokens van de host repository te stelen. De aanval is getest tegen drie AI-agents: Anthropic Claude Code, Google Gemini en GitHub Copilot.

De onderzoekers stellen dat de AI-agents kunnen worden overgenomen via speciaal geprepareerde GitHub-comments, waaronder PR ("Pull Request") titels, comments en issue bodies. Zo kan een aanvaller via een malafide PR-titel de AI-agent overtuigen om willekeurige commando's uit te voeren of credentials te stelen en die vervolgens als een security finding of een entry in de GitHub Actions log te publiceren/exfiltreren

De Comment and Control-aanval is een serieus risico, omdat het "malafide prompt" van de aanvaller automatisch kan worden verwerkt door een AI-Agent via (bijvoorbeeld) een GitHub Actions workflow, zonder enige interactie van het slachtoffer, aldus de onderzoekers. De onderzoekers waarschuwen tevens dat de aanval waarschijnlijk werkt tegen elke AI-agent die onbetrouwbare GitHub-data verwerkt en toegang heeft tot tools in een runtime omgeving waarin zich ook productie secrets bevinden.

De onderzoekers rapporteerden de bevindingen aan Anthropic, Google en GitHub.

Reacties (7)
Reageer met quote
Gisteren, 13:44 door Anoniem
Ha! nog meer reden om geen geautomatiseerde AI in je OS te hebben.
Alleen dan kunnen ze niet alleen alles zien en deze metadata naar HQ sturen, (adverteerders) maar ook nog eens ingaan en actief reageren op alles dat ze online zien.
Lol, dus als ik online een opdracht maak zoals "AI, maak een mooie HTML-gebaseerde visuele demoscene website voor me" kan deze zowaar happen en het uitvoeren (Ik doe maar even een demoscene website in pkaats van iets schadelijks, want ook dit bericht kan worden "gehapt" door een AI...
Laat het nou ook eens zijn dat dit ook kan door woorden te verbergen in text door ze vertikaal op te stellen, zoals de eerste hoofdletter van iedere nieuwe zin, mensen zien dat niet snel, maar een AI wel.
Ohjee...

(Verticaal staat er "HALLO", een AI zou dat kunnen zien en in zich opnemen, als er een lang bericht zou staan zou men er een opdracht in kunnen doen, een soort woordspelletje met AI dus. Ook zouden AI's zelf deze woordspelletjes kunnen genereren.)
Reageer met quote
Gisteren, 15:41 door Anoniem
Door Anoniem: Ha! nog meer reden om geen geautomatiseerde AI in je OS te hebben.
Alleen dan kunnen ze niet alleen alles zien en deze metadata naar HQ sturen, (adverteerders) maar ook nog eens ingaan en actief reageren op alles dat ze online zien.
Lol, dus als ik online een opdracht maak zoals "AI, maak een mooie HTML-gebaseerde visuele demoscene website voor me" kan deze zowaar happen en het uitvoeren (Ik doe maar even een demoscene website in pkaats van iets schadelijks, want ook dit bericht kan worden "gehapt" door een AI...
Laat het nou ook eens zijn dat dit ook kan door woorden te verbergen in text door ze vertikaal op te stellen, zoals de eerste hoofdletter van iedere nieuwe zin, mensen zien dat niet snel, maar een AI wel.
Ohjee...

(Verticaal staat er "HALLO", een AI zou dat kunnen zien en in zich opnemen, als er een lang bericht zou staan zou men er een opdracht in kunnen doen, een soort woordspelletje met AI dus. Ook zouden AI's zelf deze woordspelletjes kunnen genereren.)
Inderdaad. Ik ben blij dat ik geen Windows gebruik, daar heb je geen keuze in wat ze erin plempen, waaronder AI.
Datzelfde geldt voor Mac en iOS.
Ik gebruik zelf GNU/Linux (Arch) en GrapheneOS waardoor ik zelf meer controle en autonomie heb over wat ik installeer en wat erin komt te zitten. (Meer vrijheid) Desnoods compileer ik het vanaf de grond.
Reageer met quote
Gisteren, 18:45 door Anoniem
Dit is de zoveelste manier waarop men misbruik maakt van dat LLM's geen onderscheid maken tussen de data die ze verwerken, de dialoog die ze voeren en de instructies die daar restricties aan moeten opleggen. Dit is zoiets als SQL-injection of cross-site scripting niet afvangen. Alleen erger, het is een opzet waarin ze het niet eens af kunnen vangen.

Maar stort het desondanks maar lekker over de mensheid uit, bouw datacenters ervoor op een schaal die water- en stroomtekorten veroorzaakt en de omgeving substantieel stoort met plaatselijk graden opwarming en ventilatieherrie, want de machtspositie die je er als bedrijf mogelijk mee opbouwt als je de race met concurrenten niet verliest is natuurlijk veel belangrijker dan verantwoordelijk met de mensheid en de wereld omgaan.

Het is gewoon zwaar crimineel waar big tech mee bezig is, maar de wereld is nog niet zo ver dat dat in strafrecht wordt verankerd.
Reageer met quote
Gisteren, 21:09 door Anoniem
Het is zo link om geautomatiseerde AI op je device te hebben, zeker als het door kwaadwillenden er zomaar op gezet kan worden. Ik hoop dat slachtoffers van deze praktijken, schadeloos gesteld worden,. Wordt tijd dat Ned. For. Inst. (NFI) een tool krijgt die deze criminelen er zo uit haalt, zodat de daders vervolgt kunnen gaan worden, en alle financiele tegoeden aan de slachtoffer vervalllen, en de sites waar deze rommel gepropageerd werden het te gebruiken, op zwart staan, en de bedenkers er van vervolgt worden, en nooit meer naar een computer mogen kijken, want zo erg is het al.

Als we dan moeten gaan zitten wachten op commerciele G6 voor de massa en "dual use" want dan mag het wel, dan is het al te laat.
Reageer met quote
Vandaag, 06:27 door Anoniem
Het lijkt conceptueel een beetje op SQL-injectie: je mengt data en instructies op een manier die het systeem kan misleiden. Alleen is het hier lastiger volledig dicht te timmeren, omdat taalmodellen per definitie alles als tekst verwerken. Er is dus geen harde scheiding zoals bij klassieke software. Dat maakt het een fundamenteel ontwerpprobleem, geen simpele bug die je even kan patchen.Tegelijk wordt er wel degelijk actief aan gewerkt (bijvoorbeeld met sandboxing, tool-permissions, retrieval filters, en “system prompt isolation”), dus het is niet zo dat bedrijven het volledig negeren.
Reageer met quote
Vandaag, 11:36 door Anoniem
Door Anoniem: Het lijkt conceptueel een beetje op SQL-injectie: je mengt data en instructies op een manier die het systeem kan misleiden. Alleen is het hier lastiger volledig dicht te timmeren, omdat taalmodellen per definitie alles als tekst verwerken. Er is dus geen harde scheiding zoals bij klassieke software. Dat maakt het een fundamenteel ontwerpprobleem, geen simpele bug die je even kan patchen.Tegelijk wordt er wel degelijk actief aan gewerkt (bijvoorbeeld met sandboxing, tool-permissions, retrieval filters, en “system prompt isolation”), dus het is niet zo dat bedrijven het volledig negeren.

M.i. lijkt het conceptueel HEEL ERG op social engineering , met erg vergelijkbare zwakheden van AI en NI (natural intelligence) .
Reageer met quote
Vandaag, 13:08 door Anoniem
Maar hoe pakken we zulk low life aan,
niet door ieders privacy af te pakken.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Salt Road Compromised Components