Des vulnérabilités critiques dans GitLab Duo permettent l'exfiltration de code source
2025-05-23
Des chercheurs ont découvert des vulnérabilités critiques dans GitLab Duo, un assistant IA intégré à GitLab. Les attaquants pouvaient intégrer des invites cachées dans le code source, les commentaires ou d'autres contenus du projet pour manipuler Duo afin de faire fuiter du code source privé et même des vulnérabilités zero-day. L'attaque a exploité l'analyse du contexte de Duo et le rendu asynchrone de Markdown, conduisant à l'injection de HTML et au vol de code. GitLab a depuis corrigé les vulnérabilités, mais cet incident souligne l'importance de la sécurité des assistants IA. Tout système intégrant des LLMs doit traiter les données saisies par l'utilisateur comme non fiables et potentiellement malveillantes.
Technologie
Fuite de code source