Se ha documentado la explotación activa de una vulnerabilidad de alta severidad, catalogada como CVE-2025-59145 (CVSS 9.6) y apodada “CamoLeak”, que afecta a la herramienta de asistencia de Inteligencia Artificial GitHub Copilot Chat. Este fallo estructural permite a actores de amenazas exfiltrar código fuente, claves de API y secretos de infraestructura en la nube desde repositorios privados, todo esto de manera completamente silenciosa y sin requerir la ejecución de código malicioso tradicional. El incidente subraya un riesgo emergente y crítico en la adopción corporativa de asistentes de desarrollo impulsados por IA.
Anatomía del Ataque
El ataque “CamoLeak” es una sofisticada inyección de instrucciones (Prompt Injection) que abusa del nivel de confianza y acceso que tiene Copilot sobre el código del desarrollador. La cadena de explotación opera en cuatro fases:
- Inyección Oculta: El atacante envía un Pull Request (PR) malicioso. En la descripción de este PR, incrusta instrucciones maliciosas utilizando la sintaxis de comentarios invisibles de Markdown. Debido a que la interfaz web estándar no renderiza estos comentarios, los revisores humanos no notan nada sospechoso.
- Ejecución por la IA: Cuando un desarrollador legítimo con acceso al repositorio privado solicita a Copilot que revise el PR, la IA ingiere el texto sin formato (raw text), interpretando el comentario invisible como un comando legítimo y directo.
- Búsqueda y Codificación: La instrucción inyectada ordena a Copilot que escanee la base de código local en busca de datos altamente confidenciales (como credenciales de AWS) y que codifique los hallazgos en formato base16.
- Exfiltración vía Proxy (Evasión de CSP): Para extraer los datos burlando la Política de Seguridad de Contenido (CSP), el atacante fuerza a Copilot a solicitar imágenes. Utiliza direcciones pre-firmadas válidas que pasan por el proxy de imágenes legítimo de GitHub (“Camo”). Cada dirección apunta a un píxel transparente de 1×1 en el servidor del atacante y representa un solo carácter codificado. Dado que el tráfico de salida fluye a través de la infraestructura confiable de GitHub, evade los controles de red (DLP/Firewalls) de la empresa.
Impacto
El impacto de esta vulnerabilidad es devastador para la confidencialidad de la propiedad intelectual y la infraestructura en la nube. Un atacante externo, simplemente enviando un Pull Request, puede convertir a la IA interna de la organización en un agente de espionaje involuntario. El robo de claves de AWS o bases de datos expone a la empresa a compromisos masivos de infraestructura, fraude financiero e interrupción operativa, burlando completamente las defensas de red perimetrales.
Recomendaciones y Mitigación Inmediata
Aunque GitHub aplicó un parche estructural para este vector específico en su momento (deshabilitando la renderización de imágenes en Copilot Chat), el paradigma de la inyección de prompts sigue siendo una amenaza persistente para cualquier IA con acceso a datos corporativos (incluyendo Microsoft 365 Copilot o Google Gemini).
Se deben aplicar las siguientes directrices estratégicas y técnicas:
- Actualización de Plataforma: Asegurar que todas las extensiones de IDE y entornos de desarrollo que integren GitHub Copilot estén operando en sus versiones más recientes, donde las mitigaciones contra “CamoLeak” ya están activas.
- Monitoreo de Salida en el Endpoint: Las soluciones tradicionales de DLP a nivel de red son ciegas ante exfiltraciones que ocurren a través de túneles TLS confiables (como los de GitHub o Microsoft). Las organizaciones deben desplegar capacidades avanzadas de Detección y Respuesta de Endpoints (EDR) o soluciones de seguridad de red centradas en el comportamiento del dispositivo para bloquear la transferencia anómala de datos sensibles directamente desde la estación de trabajo del desarrollador.
- Escaneo de Secretos (Shift-Left): Implementar herramientas automatizadas de escaneo de secretos (como TruffleHog o GitLeaks) en los pipelines de CI/CD para detectar y bloquear proactivamente la subida de credenciales en texto plano, reduciendo así la “materia prima” que una IA comprometida podría exfiltrar.
- Concienciación sobre IA: Entrenar a los equipos de desarrollo sobre los riesgos de usar herramientas de IA generativa para revisar código no confiable o de terceros, promoviendo una postura de “Confianza Cero” (Zero Trust) frente a los inputs que procesan los modelos de lenguaje.
