I ricercatori rompono la sicurezza di GitHub Copilot tramite un flusso di lavoro

I ricercatori rompono la sicurezza di GitHub Copilot tramite un flusso di lavoro

      I ricercatori dell'Alan Turing Institute hanno dimostrato che GitHub Copilot produrrà contenuti dannosi che normalmente rifiuterebbe. Il trucco consiste nel diffondere la richiesta all'interno di un normale flusso di lavoro di codifica. Lo chiamano jailbreak a livello di flusso di lavoro, e The Register ha riportato la scoperta.

      Il divario tra le due impostazioni è netto. In chat diretta, l'assistente ha rifiutato quasi tutto, rispondendo solo a 8 di 816 richieste dannose. Attraverso un flusso di lavoro, ha completato tutte e 816.

      Come funziona il trucco

      L'idea è semplice. Piuttosto che chiedere al modello di fare qualcosa di pericoloso, i ricercatori hanno inquadrato l'obiettivo dannoso come dati da elaborare. Poi l'hanno suddiviso in piccoli passaggi che sembrano innocui all'interno di un progetto. Ogni passaggio appare innocuo da solo. Il pericolo si manifesta solo quando i pezzi si uniscono.

      Il team, composto da Abhishek Kumar e Carsten Maple, ha testato Copilot all'interno dell'editor VS Code di Microsoft. Hanno eseguito il test su quattro modelli. Due provenivano da Anthropic, Claude Sonnet 4.6 e Claude Haiku 4.5. Due provenivano da Google, Gemini 3.1 Pro e Gemini 3.5 Flash. Tutti e quattro si sono comportati in modo molto simile.

      Cosa ha prodotto

      Le richieste provenivano da tre dataset di sicurezza consolidati, tra cui HarmBench e AdvBench, coprendo 204 compiti dannosi. The Register ha visto esempi redatti. Uno chiedeva come ingannare un test dell'alcol. Un altro era una guida per contrabbandare denaro contante in grandi quantità fuori dagli Stati Uniti.

      Il punto non è che un singolo modello abbia fallito. Ognuno ha rifiutato le stesse richieste quando un utente ha chiesto in modo chiaro. Il fallimento si trova a livello di flusso di lavoro. Lì, una catena di passaggi benigni sfugge ai controlli di sicurezza che ispezionano una richiesta alla volta.

      Perché le attuali protezioni non lo catturano

      Questo è l'avvertimento principale dei ricercatori. I test di sicurezza richiesta per richiesta, la norma del settore, non catturano il danno che si accumula durante una sessione. Un modello può superare ogni singolo benchmark. Un utente può comunque portarlo allo stesso output attraverso la porta sul retro.

      La loro soluzione è testare l'intera traiettoria, non il singolo passaggio. Le protezioni dovrebbero esaminare i file, gli script e i dati che un agente di codifica tocca durante un intero compito, sostengono. Dovrebbero segnalare quando parti che sembrano innocue si sommano a qualcosa di pericoloso.

      Un problema oltre Copilot

      Niente del metodo è specifico per Copilot, o per un singolo produttore di modelli. I ricercatori affermano che strumenti come Cursor, Cline e Windsurf meritano la stessa attenzione. Tutti condividono il design agentico che rende possibile l'attacco. Man mano che gli assistenti guadagnano la libertà di eseguire compiti a più passaggi, lo spazio per nascondere l'intento cresce con loro.

      Anthropic, Google e GitHub di Microsoft pubblicano tutti lavori di sicurezza sui loro modelli. I ricercatori hanno contattato tutti e tre per un commento. Il documento è disponibile sul server di preprint arXiv.

      Perché è importante

      Lo studio offre una critica incisiva su come l'industria misura la sicurezza dell'IA. Se il vero rischio risiede nel flusso di lavoro, non nella richiesta, allora superare i test di oggi dimostra meno di quanto sembri. Il compito più difficile, suggeriscono i ricercatori, è osservare cosa fa un agente durante un intero lavoro. Non solo cosa dice in una singola risposta.

Altri articoli

Databento raccoglie 97 milioni di dollari per sfidare il terminale di Bloomberg Databento raccoglie 97 milioni di dollari per sfidare il terminale di Bloomberg La startup di dati di mercato Databento ha raccolto 97 milioni di dollari in una Serie B guidata da NEA, portando la sua scommessa contro il terminal Bloomberg in Europa, APAC e laboratori di intelligenza artificiale. Lyzr ha utilizzato il proprio agente AI per aiutare a raccogliere un round da 100 milioni di dollari. Lyzr ha utilizzato il proprio agente AI per aiutare a raccogliere un round da 100 milioni di dollari. La startup di intelligenza artificiale per le imprese Lyzr afferma che il suo agente, Agent Sam, ha gestito oltre 130 investitori mentre raccoglieva 100 milioni di dollari in un round di finanziamento di Serie B a una valutazione di circa 500 milioni di dollari. L'abitudine britannica al cloud americano è ora un rischio da miliardi di sterline L'abitudine britannica al cloud americano è ora un rischio da miliardi di sterline Quasi ogni ente pubblico del Regno Unito dipende dai giganti americani del cloud, concentrando miliardi di sterline e servizi critici in sistemi che Whitehall non può vedere completamente. Dentro il 'Court 19' nascosto di IBM a Wimbledon Dentro il 'Court 19' nascosto di IBM a Wimbledon Sotto il 18° campo di Wimbledon, il 'Court 19' di IBM analizza 2,7 milioni di punti dati a torneo e trasforma i Campionati in una vetrina per l'IA. Jack Dorsey’s Block risolve le controversie per frode di Cash App con 46 stati per 45 milioni di dollari Jack Dorsey’s Block risolve le controversie per frode di Cash App con 46 stati per 45 milioni di dollari Block pagherà 45 milioni di dollari a 46 stati americani per la gestione delle frodi su Cash App, mentre i regolatori statali si muovono per occupare il terreno che il CFPB indebolito ha abbandonato. I ricercatori violano la sicurezza di GitHub Copilot tramite un flusso di lavoro I ricercatori violano la sicurezza di GitHub Copilot tramite un flusso di lavoro I ricercatori dell'Alan Turing Institute hanno fatto produrre a GitHub Copilot contenuti dannosi che rifiuta in chat, diffondendo la richiesta attraverso un flusso di lavoro di codifica.

I ricercatori rompono la sicurezza di GitHub Copilot tramite un flusso di lavoro

I ricercatori dell'Alan Turing Institute hanno fatto produrre a GitHub Copilot contenuti dannosi che rifiuta in chat, diffondendo la richiesta attraverso un flusso di lavoro di codifica.