Source: Embrace The Red (blog) — Des chercheurs en sécurité décrivent des vulnérabilités critiques de prompt injection dans l’agent OpenHands qui permettent une exfiltration de données zéro‑clic en abusant du rendu d’images pour extraire des tokens GitHub et d’autres secrets.
🚨 Points clés
- Type d’attaque: prompt injection avec la « Lethal Trifecta » (Markdown + rendu d’images + exfiltration).
- Impact: exfiltration de GITHUB_TOKEN et d’autres données sensibles depuis l’environnement conteneurisé d’OpenHands.
- État du correctif: vulnérabilité non corrigée malgré 148 jours de divulgation responsable.
🔧 Détails techniques
- Abus de la syntaxe d’images Markdown pour forcer l’agent à charger des ressources depuis des domaines contrôlés par l’attaquant, en ajoutant des secrets dans l’URL (p. ex., paramètres de requête).
- Contournement des refus du modèle via motifs: recherche de « hp* » au lieu de « ghp* » pour détecter/extraire des tokens GitHub.
- Contournement des mécanismes de redaction au moyen d’encodage Base64 pour masquer les sorties sensibles.
🧪 Produits/Composants concernés
- OpenHands AI agent (environnement conteneurisé, variables d’environnement telles que GITHUB_TOKEN).
🧩 IOCs et TTPs
- IOCs: Aucun indicateur spécifique partagé (pas de domaines/IP/artefacts nommés).
- TTPs:
- Prompt injection via Markdown image syntax.
- Zero‑click data exfiltration via URL embedding des secrets.
- Pattern matching obfusqué (ex.: « hp* » vs « ghp* ») pour contourner les filtres.
- Base64 pour contourner la redaction/sortie filtrée.
Conclusion: Il s’agit d’une publication de recherche détaillant une vulnérabilité dans la mise en œuvre d’un agent IA, avec démonstration d’exfiltration et mise en évidence des risques liés au rendu d’images et aux contrôles insuffisants.
🔗 Source originale : https://embracethered.com/blog/posts/2025/openhands-the-lethal-trifecta-strikes-again/