AI pomohla odhaliť závažnú chybu v GitHube, oprava prišla v priebehu hodín

Bezpečnostný tím GitHubu riešil kritickú zraniteľnosť v internej git infraštruktúre, ktorá umožňovala vzdialené spustenie kódu. Problém označený ako CVE-2026-3854 sa týkal GitHub.com aj GitHub Enterprise Servera a podľa výskumníkov z Wiz mohol potenciálnym útočníkom otvoriť prístup k miliónom verejných aj súkromných repozitárov.

Zraniteľnosť súvisela so spracovaním git push požiadaviek. Špeciálne upravené push options, teda dodatočné parametre odosielané pri pushi, neboli správne filtrované pred tým, ako sa dostali do interných servisných hlavičiek. Útočník s právom pushovať do repozitára tak mohol cez bežného git klienta spustiť príkazy na backend serveroch. V prípade GitHub Enterprise Servera to mohlo viesť až ku kompromitácii celej inštancie, pri GitHub.com išlo o riziko v multi-tenant prostredí so zdieľanými storage nodmi.

Pomohla umelá inteligencia

Wiz uvádza, že chybu objavil s pomocou AI modelov pri analýze uzavretých bináriek. Ide tak o jeden z prvých prípadov, keď bola kritická RCE zraniteľnosť v takomto prostredí odhalená práve týmto spôsobom. GitHub CISO Alexis Wales doplnila, že do 40 minút od bug bounty reportu tím chybu reprodukoval a potvrdil jej závažnosť. Následne bola oprava nasadená na GitHub.com a rozbehlo sa forenzné vyšetrovanie, ktoré podľa GitHubu nenašlo dôkazy o reálnom zneužití.

Oprava je dostupná aj pre GitHub Enterprise Server vo viacerých aktualizovaných verziách a správcovia by ju mali nasadiť čo najskôr. Wiz pri zverejnení detailov upozornil, že veľká časť Enterprise Server inštancií ešte nebola aktualizovaná. Prípad zároveň ukazuje defenzívne využitie umelej inteligencie, ktorá môže pri systematickej analýze komplexnej infraštruktúry odhaliť chyby, ktoré by manuálnej kontrole mohli uniknúť.