論文の概要: GitInject: Real-World Prompt Injection Attacks in AI-Powered CI/CD Pipelines
- arxiv url: http://arxiv.org/abs/2606.09935v1
- Date: Sun, 07 Jun 2026 19:17:18 GMT
- ステータス: 翻訳完了
- システム内更新日: 2026-06-10 15:40:58.064006
- Title: GitInject: Real-World Prompt Injection Attacks in AI-Powered CI/CD Pipelines
- Title(参考訳): GitInject: AI駆動CI/CDパイプラインにおける実世界のプロンプトインジェクションアタック
- Authors: Jafar Isbarov, Umid Suleymanov, Ilia Shumailov, Murat Kantarcioglu,
- Abstract要約: GitInjectは、実際のGitHubでインジェクションのプロンプト脆弱性を評価するためのオープンソースのフレームワークです。
4つのAIプロバイダにわたるワークフロー構成を研究し、設定ファイルインジェクション、クレデンシャル・エクスプロイト、判断操作、可用性にまたがる11の命名された攻撃を文書化する。
テスト対象のプロバイダはすべて、デフォルト設定で少なくとも1つのアタッククラスに影響を受けており、最も重要な脆弱性は構造的であることに気付きました。
- 参考スコア(独自算出の注目度): 22.29523291822444
- License: http://creativecommons.org/licenses/by/4.0/
- Abstract: AI-powered agents are increasingly embedded in continuous integration and continuous delivery/deployment (CI/CD) pipelines to autonomously review pull requests (PRs), triage issues, and maintain codebases. These agents ingest untrusted content while operating with elevated repository permissions, making them a natural target for prompt injection attacks with supply chain consequences. We present GitInject, an open-source framework for evaluating prompt injection vulnerabilities in real, live GitHub workflows, a widely deployed instance of CI/CD pipelines. Unlike prior agent security benchmarks that simulate tool calls, GitInject provisions ephemeral repositories and triggers actual workflow runs, so that sandbox constraints, credential handling, and permission boundaries behave exactly as in production. Using GitInject, we study workflow configurations across four AI providers and document eleven named attacks spanning config-file injection, credential exfiltration, judgment manipulation, and availability. We find that all tested providers are susceptible to at least one attack class in their default configuration, and that the most critical vulnerabilities are structural: they arise from how CI/CD infrastructure handles credentials and configuration files, not from any specific model's behavior. For each confirmed attack class, we identify the minimum-cost workflow-level countermeasure and analyze its coverage and limitations. GitInject is released publicly to facilitate further research in this direction.
- Abstract(参考訳): AIベースのエージェントは、プルリクエスト(PR)の自律的なレビュー、トリアージ問題、コードベースのメンテナンスのために、継続的インテグレーションと継続的デリバリ/デプロイ(CI/CD)パイプラインに組み込まれている。
これらのエージェントは、レポジトリ許可の操作中に信頼できないコンテンツを取り込み、サプライチェーンの結果を伴うインジェクション攻撃の自然な標的となる。
私たちは、CI/CDパイプラインの広くデプロイされたインスタンスである、実際のGitHubワークフローでインジェクションのプロンプト脆弱性を評価するためのオープンソースのフレームワークであるGitInjectを紹介します。
ツールコールをシミュレートする以前のエージェントセキュリティベンチマークとは異なり、GitInjectは一時的なリポジトリをプロビジョニングし、実際のワークフローの実行をトリガーする。
GitInjectを使用して、4つのAIプロバイダにわたるワークフロー構成を調査し、設定ファイルインジェクション、クレデンシャルエクスプロイト、判断操作、可用性にまたがる11の名前付きアタックを文書化する。
テスト対象のプロバイダはすべて、デフォルト設定で少なくとも1つのアタッククラスに影響を受けており、最も重大な脆弱性は構造的であることに気付きました。
確認された攻撃クラスごとに、最小コストのワークフローレベル対策を特定し、そのカバレッジと制限を分析する。
GitInjectは、この方向のさらなる研究を促進するために、一般公開されている。
関連論文リスト
- Comment and Control: Hijacking Agentic Workflows via Context-Grounded Evolution [13.979573641143212]
GitHub Actionsとn8nは、コードレビューやデータ同期といったタスクのためのLarge Language Model (LLM)エージェントを統合する。
敵は、不要なアクションのためにLLMエージェントを操作するために、GitHubイシューコメントなどの特定のインプットを制御し、作成することができる。
本稿では,エージェントランタイムプラットフォームを乗っ取るために,JAWと呼ばれる最初の検出・利用フレームワークを設計する。
論文 参考訳(メタデータ) (2026-05-11T20:45:31Z) - ExploitGym: Can AI Agents Turn Security Vulnerabilities into Real Attacks? [92.21756459993695]
低レベルのプログラム推論を必要とするため、爆発は難しい作業です。
その重要性と診断価値にもかかわらず、搾取は未評価のままである。
ExploitGymは、AIエージェントのエクスプロイト能力に関する大規模で多様な、現実的なベンチマークである。
論文 参考訳(メタデータ) (2026-05-11T18:00:14Z) - Demystifying and Detecting Agentic Workflow Injection Vulnerabilities in GitHub Actions [13.116427545802571]
GitHub Actionsは、リポジトリ中心のタスクのためのLLMベースのエージェントのデプロイにますます使用されている。
本稿では,ワークフローレベルのインジェクション欠陥であるエージェントインジェクション(AWI)を紹介する。
我々は、実世界のAI支援行動1,033を特徴付け、AWI固有の仕様を抽出する。
これらの仕様に基づいて、信頼できないイベントコンテキストからエージェントプロンプトインプットへのフローを追跡する、テイント分析ツールであるTaintAWIを設計する。
論文 参考訳(メタデータ) (2026-05-08T02:13:04Z) - Attesting LLM Pipelines: Enforcing Verifiable Training and Release Claims [2.0403981727850233]
現代の大規模言語モデル(LLM)システムは、事前トレーニングされた重み付け、微調整アダプタ、データセット、依存関係パッケージ、コンテナイメージといったサードパーティの成果物から組み立てられている。
このスピードには、妥協された依存関係、悪意のあるハブアーティファクト、安全でないデフォールト化、偽造された前兆、バックドアモデルなど、サプライチェーンのリスクが伴う。
本稿では,信頼された環境にアーティファクトが認められる前に,クレームエビデンスを検証し,安全なローディングと静的スキャンポリシーを適用し,セキュアなシリアル配置制約を適用した,証明対応のプロモーションゲートを提案する。
論文 参考訳(メタデータ) (2026-03-30T20:37:48Z) - AgentWall: A Runtime Safety Layer for Local AI Agents [0.0]
AgentWallは、ローカルAIエージェントのランタイム安全性と可観測性レイヤである。
ホスト環境に到達する前に提案されたすべてのエージェントアクションをインターセプトし、明示的な宣言的なポリシーで評価し、機密性の高い操作に対して人間の承認を必要とし、監査と再生のための完全な実行パスを記録します。
本稿では,AgentWallの設計,アーキテクチャ,脅威モデル,およびポリシーモデルについて述べる。
論文 参考訳(メタデータ) (2026-03-24T11:39:35Z) - AEGIS: No Tool Call Left Unchecked -- A Pre-Execution Firewall and Audit Layer for AI Agents [4.963079926145645]
AEGISはAIエージェントのための事前実行ファイアウォールと監査層である。
ツール実行パスに介在し、3段階のパイプラインを適用する。
ハイリスクコールは、人間の承認のために行われ、すべての決定は、未確認の監査証跡に記録される。
論文 参考訳(メタデータ) (2026-03-13T03:49:12Z) - SkillJect: Automating Stealthy Skill-Based Prompt Injection for Coding Agents with Trace-Driven Closed-Loop Refinement [120.52289344734415]
エージェントスキルに適したステルスプロンプトインジェクションのための自動フレームワークを提案する。
フレームワークは、明示的なステルス制約の下でインジェクションスキルを合成するアタックエージェント、インジェクションされたスキルを使用してタスクを実行するコードエージェント、アクショントレースをログする評価エージェントの3つのエージェントでクローズドループを形成する。
本手法は,現実的な環境下で高い攻撃成功率を達成する。
論文 参考訳(メタデータ) (2026-02-15T16:09:48Z) - Trace: Securing Smart Contract Repository Against Access Control Vulnerability [58.02691083789239]
GitHubはソースコード、ドキュメント、設定ファイルを含む多数のスマートコントラクトリポジトリをホストしている。
サードパーティの開発者は、カスタム開発中にこれらのリポジトリからコードを参照、再利用、フォークすることが多い。
スマートコントラクトの脆弱性を検出する既存のツールは、複雑なリポジトリを扱う能力に制限されている。
論文 参考訳(メタデータ) (2025-10-22T05:18:28Z) - Cuckoo Attack: Stealthy and Persistent Attacks Against AI-IDE [64.47951172662745]
Cuckoo Attackは、悪意のあるペイロードを構成ファイルに埋め込むことで、ステルス性と永続的なコマンド実行を実現する新しい攻撃である。
攻撃パラダイムを初期感染と持続性という2つの段階に分類する。
当社は、ベンダーが製品のセキュリティを評価するために、実行可能な7つのチェックポイントを提供しています。
論文 参考訳(メタデータ) (2025-09-19T04:10:52Z) - DRIFT: Dynamic Rule-Based Defense with Injection Isolation for Securing LLM Agents [52.92354372596197]
大規模言語モデル(LLM)は、強力な推論と計画能力のため、エージェントシステムの中心となってきています。
この相互作用は、外部ソースからの悪意のある入力がエージェントの振る舞いを誤解させる可能性がある、インジェクション攻撃のリスクも引き起こす。
本稿では,信頼に値するエージェントシステムのための動的ルールベースの分離フレームワークを提案する。
論文 参考訳(メタデータ) (2025-06-13T05:01:09Z) - VPI-Bench: Visual Prompt Injection Attacks for Computer-Use Agents [74.6761188527948]
完全なシステムアクセスを持つコンピュータ利用エージェント(CUA)は、セキュリティとプライバシの重大なリスクを負う。
我々は、悪意のある命令がレンダリングされたユーザーインターフェイスに視覚的に埋め込まれた視覚的プロンプトインジェクション(VPI)攻撃について検討する。
実験により,現在のCUAとBUAは,それぞれのプラットフォーム上で最大51%,100%の速度で騙すことができることがわかった。
論文 参考訳(メタデータ) (2025-06-03T05:21:50Z)
関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。
指定された論文の情報です。
本サイトの運営者は本サイト(すべての情報・翻訳含む)の品質を保証せず、本サイト(すべての情報・翻訳含む)を使用して発生したあらゆる結果について一切の責任を負いません。