Pesquisadores de cibersegurança identificaram uma grave falha de injeção indireta de prompts na assistente de inteligência artificial GitLab Duo, que poderia permitir o roubo de código-fonte e a inserção de HTML malicioso nas respostas da IA, redirecionando vítimas para sites perigosos.

Lançada em junho de 2023 e baseada nos modelos Claude da Anthropic, a GitLab Duo auxilia no desenvolvimento e revisão de código. No entanto, a Legit Security descobriu que era possível esconder instruções maliciosas em comentários, descrições de issues, commits e até no próprio código-fonte. Essas instruções ocultas, se interpretadas pela IA, poderiam exfiltrar informações sensíveis, incluir pacotes maliciosos ou disfarçar URLs perigosas como confiáveis.

Ataques foram facilitados por técnicas como codificação Base16, smuggling Unicode e textos brancos com KaTeX. A IA, ao analisar todo o contexto de uma página, acabava processando essas instruções como legítimas. Isso também poderia levar a execução de HTML nos navegadores dos usuários por meio de renderização de markdown em tempo real. A vulnerabilidade foi reportada em 12 de fevereiro de 2025 e já foi corrigida pelo GitLab. Para especialistas, a falha evidencia os riscos da integração profunda de assistentes de IA nos fluxos de trabalho de desenvolvimento, uma vez que essas ferramentas herdam não só o contexto, mas também as vulnerabilidades embutidas.