GitLab Duoの重大な脆弱性によりソースコードの流出が可能に
2025-05-23
研究者らは、GitLabに統合されたAIアシスタントであるGitLab Duoに重大な脆弱性を見つけた。攻撃者はソースコード、コメント、その他のプロジェクトコンテンツに隠されたプロンプトを埋め込むことで、Duoを操作し、プライベートソースコードやゼロデイ脆弱性までもが漏洩する可能性がある。この攻撃は、Duoのコンテキスト解析と非同期Markdownレンダリングを悪用し、HTMLインジェクションとコード窃取につながった。GitLabは脆弱性を修正したが、このインシデントはAIアシスタントのセキュリティの重要性を浮き彫りにしている。LLMを組み込んだシステムは、ユーザー入力を信頼できない可能性のある悪意のあるものとして扱う必要がある。
テクノロジー
ソースコード流出