安全公司披露 AI 代码助手 GitLab Duo 提示词注入漏洞，可利用 Unicode / Base16 等方式“藏毒”

5 月 27 日消息，安全公司 Legit Security 发文，披露 GitLab 的 AI 助手 GitLab Duo 存在一项提示词注入漏洞，黑客可以通过嵌入提示（prompt injection）的方式，让 GitLab Duo 输出任何黑客想要实现的内容。

据介绍，GitLab Duo 是一款基于 Anthropic 开发的大语言模型 Claude 构建的 AI 助手，于 2023 年 6 月推出，2024 年 4 月又新增了 Duo Chat 聊天机器人功能，让用户能够通过自然语言与之交互。这款助手可为开发者提供代码建议、代码审核、分析合并请求等功能。

参考 Legit Security 报告获悉，该公司在 GitLab Duo 中发现了一处远程提示注入漏洞，黑客可以在 GitLab 项目中提前埋入恶意提示信息，为了躲避安全系统的检测，研究人员采用了 Unicode 夹带（Unicode Smuggling）、Base16 编码、KaTeX 渲染等手法，使这些提示内容不会直接出现在网站上被用户察觉，但 Duo 在生成建议时依然会读取到。

安全公司指出，相应提示内容可篡改 Duo 生成的代码建议（例如指示 AI 在输出中加入恶意 JavaScript 包）、在 Duo 回应中嵌入恶意链接，或让 Duo 错误地认为恶意合并请求是安全的，从而达成黑客各种特殊目的。

目前，相应公司已于今年 2 月将这一问题通报给 GitLab，GitLab 随后确认漏洞并完成了修复。