Уязвимость в AI-агентах позволяет красть ключи через комментарии на GitHub

Новая уязвимость «Comment and Control» позволяет проводить prompt-инъекции через комментарии и заголовки issue на GitHub. Под угрозой оказались популярные AI-инструменты: Claude Code, Gemini CLI и GitHub Copilot. Злоумышленники могут использовать их для кражи API-ключей и токенов доступа прямо из среды CI/CD. Почему это важно: разработчики рискуют скомпрометировать свои инфраструктуры, просто просматривая репозитории через уязвимые AI-агенты.