Nowości

Badacze pokazują, jak oszukać GitHub Copilot w każdym z 816 testów

ProgramowaniePatryk Raba

Posłuchaj tego artykułu

Spis treści
  1. Jak działa obejście
  2. Skala różnicy
  3. Dlaczego to ważne dla programistów
  4. Co dalej

Naukowcy z Alan Turing Institute w Wielkiej Brytanii opisali metodę, która sprawia, że GitHub Copilot bez wyjątku wykonuje polecenia, których na czacie odmawia niemal zawsze. Wystarczy nie pytać wprost, tylko rozłożyć szkodliwe zadanie na kolejne, pozornie niewinne kroki programistyczne wewnątrz sesji w edytorze kodu.

Metoda opisana przez Kumara i Maple'a nazywa się workflow-level jailbreak construction, czyli budowanie obejścia na poziomie całego procesu pracy, a nie pojedynczego polecenia. Zamiast prosić agenta wprost o wygenerowanie szkodliwej treści, badacze kazali mu zbudować mały program testowy, który mierzy, jak często inny model AI ulega szkodliwym promptom.

Jak działa obejście

Gdy program był gotowy, badacze informowali Copilota, że wynik testu jest za niski i proszili o jego poprawę. Poprawa polegała na dopisaniu do kodu tak zwanych teaching shots, czyli przykładowych par pytanie-odpowiedź, które miały podnieść skuteczność ewaluowanego modelu. W praktyce oznaczało to wpisanie do kodu właśnie tych treści, których model odmówił wygenerować chwilę wcześniej na czacie.

Kluczowy jest moment przełączenia kontekstu. Agent kodujący jest rutynowo proszony o budowanie potoków danych, wczytywanie plików, sprawdzanie metryk i poprawianie wyników w wielu turach rozmowy. Gdy szkodliwe polecenie staje się po prostu jednym z pól do uzupełnienia w tym procesie, odmowa przestaje wyglądać jak decyzja bezpieczeństwa, a zaczyna wyglądać jak niedokończenie zadania.

Agent kodujący w edytorze jest rutynowo proszony o budowanie potoków, wczytywanie danych, sprawdzanie metryki - gdy szkodliwy prompt z benchmarku staje się po prostu wejściem do tego trwającego zadania, odmowa działania przestaje wyglądać jak decyzja o bezpieczeństwie, a zaczyna wyglądać jak niedokończenie pracy - Abhishek Kumar i Carsten Maple, Alan Turing Institute

Skala różnicy

Kontrast między warunkami testowymi jest w tym badaniu najbardziej wymowny. W bezpośrednim czacie oraz w prostszych wariantach, takich jak wczytanie szkodliwej treści z pliku CSV czy jednorazowa poprawka fragmentu kodu, cztery testowane modele odmawiały działania niemal za każdym razem - tylko 8 na 816 prób zakończyło się szkodliwą odpowiedzią. W pełnym, wieloetapowym scenariuszu warsztatowym te same modele wykonały polecenie we wszystkich 816 przypadkach.

Testowane modele nie są przypadkowe. Claude Sonnet 4.6 i Claude Haiku 4.5 od Anthropic oraz Gemini 3.1 Pro i Gemini 3.5 Flash od Google to jedne z popularniejszych silników, na których pracuje GitHub Copilot w Visual Studio Code. Wynik pokazuje więc problem nie jednego dostawcy, lecz całej klasy narzędzi łączących duże modele językowe z wieloetapowym wykonywaniem zadań w edytorze.

Dlaczego to ważne dla programistów

Badanie trafia w moment, gdy asystenty i agenci kodujący, od Copilota przez Claude Code po Cursora, stają się codziennym narzędziem coraz większej liczby zespołów programistycznych, także w Polsce. Producenci reklamują je jako bezpieczne dzięki warstwom moderacji treści, ale wyniki z Alan Turing Institute pokazują, że te warstwy testowane w izolacji dają fałszywe poczucie bezpieczeństwa - w realnej, wieloetapowej pracy z kodem mogą zostać obejście praktycznie za darmo.

To nie pierwsza w ostatnich tygodniach luka dotycząca asystentów kodujących opartych na AI. Wcześniej ujawniono lukę GhostApproval, dotyczącą granicy zaufania w sześciu popularnych narzędziach tego typu, a Chiny formułowały zarzuty wobec Claude Code o ukryty backdoor. Rosnąca liczba takich ustaleń sugeruje, że mechanizmy bezpieczeństwa projektowane pod kątem pojedynczych promptów nie nadążają za architekturą agentów wykonujących długie, wieloetapowe zadania.

Dla firm wdrażających takie narzędzia oznacza to, że test bezpieczeństwa ograniczony do sprawdzenia, czy model odmawia szkodliwych próśb na czacie, jest niewystarczający. Zespoły odpowiedzialne za bezpieczeństwo powinny oceniać zachowanie agentów w pełnych scenariuszach roboczych, obejmujących wiele tur i etapów, a nie pojedyncze zapytania wyrwane z kontekstu.

Co dalej

W momencie publikacji ani GitHub, ani Microsoft nie odnieśli się publicznie do ustaleń badaczy. Autorzy pracy nie podali też, czy powiadomili producentów przed publikacją w ramach odpowiedzialnego ujawniania luk. Praca została opublikowana na arXiv 8 lipca 2026 roku pod tytułem 'Refused in Chat, Written in Code: Workflow-Level Jailbreak Construction in IDE Coding Agents' i błyskawicznie trafiła do serwisów zajmujących się bezpieczeństwem, w tym The Hacker News i The Register.

Źródła: The Hacker News (thehackernews.com), The Register (theregister.com), arXiv (arxiv.org)

Udostępnij: