OpenHands and the Lethal Trifecta: How Prompt Injection Can Leak Access Tokens

Fuite de jetons d’accès via injection de prompt dans OpenHands

Une vulnérabilité critique dans l’agent OpenHands (anciennement OpenDevin) permet l’exfiltration de données, notamment les jetons d’accès GitHub. Cette technique, surnommée la “Lethal Trifecta”, exploite la capacité de l’agent à rendre des images via le markdown. Un attaquant peut insérer une instruction malveillante dans un prompt, qui, lorsqu’il est exécuté par OpenHands, force le rendu d’une image. Les informations sensibles, comme un jeton GitHub, sont ajoutées à l’URL de cette image, permettant leur exfiltration vers un serveur tiers.

Des tentatives initiales pour accéder directement au jeton ont été bloquées par le modèle lui-même. Cependant, une méthode de contournement a été découverte en recherchant un sous-motif (hp_) associé aux jetons d’accès GitHub, contournant ainsi le refus du modèle. De plus, lorsque le système identifie le jeton comme une information sensible, il est normalement masqué dans la sortie. Ce masquage peut être contourné par des encodages simples comme Base64. L’exfiltration réussie se traduit par la réception du jeton encodé par le serveur de l’attaquant.

Points Clés :

• Vulnérabilité : Injection de prompt permettant l’exfiltration de données via le rendu d’images.
• Impact : Potentielle fuite de données sensibles, y compris les jetons d’accès GitHub, de manière “zero-click”. La gravité est classée comme “Élevée” voire “Critique” par certains.
• Nom de l’attaque : “Lethal Trifecta”.

Vulnérabilités Spécifiques :

• Aucun CVE spécifique n’est mentionné pour cette vulnérabilité dans l’article.

Recommandations :

• Ne pas rendre d’images provenant de domaines non fiables.
• Utiliser une Content-Security-Policy pour restreindre le chargement d’images à des domaines de confiance.
• Afficher une pop-up de confirmation à l’utilisateur avant toute navigation hors domaine, incluant l’URL complète.

Source