Guan demonstrierte den Angriff für jedes der drei Werkzeuge auf unterschiedliche Weise. Bei Claude Code Security Review, das automatisierte Sicherheitsprüfungen durchführen soll, genügte ein präparierter Titel eines Pull Requests, um den Agenten zur Ausführung beliebiger Befehle zu bewegen. Auf diesem Weg ließen sich Zugangsdaten auslesen und anschließend als vermeintlicher Sicherheitsbefund oder als Eintrag im GitHub-Actions-Protokoll offenlegen.
Gegen Gemini CLI Action, das als autonomer Agent für Routineaufgaben beim Programmieren arbeitet, kombinierten die Forscher einen Issue-Kommentar mit einem Titel zur Prompt-Injection sowie weitere präparierte Issue-Kommentare. Damit umgingen sie die Schutzmechanismen und gelangten an einen vollständigen API-Schlüssel.
Beim GitHub Copilot Agent nutzten die Experten einen HTML-Kommentar, um die schädliche Nutzlast zu verbergen. So ließen sich die Filterung der Umgebung umgehen, nach Geheimnissen suchen und die Netzwerk-Firewall überwinden. Anders als bei den beiden anderen Werkzeugen ist hier ein Schritt des Opfers nötig: Das vom Angreifer erstellte Issue muss dem Copilot manuell zugewiesen werden.
Laut Guan handelt es sich um die erste öffentliche, herstellerübergreifende Demonstration eines einzigen Prompt-Injection-Musters bei drei großen KI-Agenten. Alle drei Schwachstellen folgten demselben Ablauf: nicht vertrauenswürdige GitHub-Daten gelangen zum KI-Agenten, dieser verarbeitet sie, führt Befehle aus, und die Zugangsdaten werden über GitHub selbst abgezogen.
Das eigentliche Problem sieht der Forscher in der Architektur. Die Agenten erhielten mächtige Werkzeuge — etwa Bash-Ausführung, git push und API-Aufrufe — sowie Geheimnisse wie API-Schlüssel und Token in derselben Laufzeit, die auch nicht vertrauenswürdige Eingaben verarbeite. Selbst mehrschichtige Verteidigung auf Modell- und Prompt-Ebene sowie GitHubs zusätzliche Laufzeitschichten ließen sich aushebeln: „Die Prompt-Injection ist hier kein Fehler, sondern Kontext, den der Agent verarbeiten soll", so Guan. Das Muster lasse sich auf jeden Agenten übertragen, der nicht vertrauenswürdige Eingaben mit Zugriff auf Werkzeuge und Geheimnisse verarbeitet — über GitHub Actions hinaus etwa auf Slack-Bots, Jira-Agenten, E-Mail-Agenten und Deployment-Automatisierung.
Die Befunde wurden an Anthropic, Google und GitHub gemeldet; alle drei bestätigten sie. Anthropic stufte das Problem als „kritisch" ein, setzte einige Gegenmaßnahmen um und zahlte eine Bug-Bounty-Prämie von 100 US-Dollar. Google zahlte 1.337 US-Dollar. GitHub vergab 500 US-Dollar und erklärte, die Arbeit habe „einige gute interne Diskussionen angestoßen", stufte das Problem jedoch als bekannte architektonische Einschränkung ein.
