GitHub-এ নতুন দুর্বলতা: আপনার প্রাইভেট কোড ফাঁস হতে পারে এখনই
নতুন আবিষ্কৃত GitLost দুর্বলতা GitHub-এর Agentic Workflows ফিচারকে লক্ষ্য করে। একটি মাত্র কারুকাজ করা পাবলিক ইস্যু পোস্ট করে হ্যাকার প্রাইভেট রিপোজিটরি থেকে ডেটা চুরি করতে পারে। নিরাপত্তা গবেষকরা এই গুরুতর ঝুঁকি নিয়ে সতর্ক করেছেন।
নতুন আবিষ্কৃত GitLost দুর্বলতা GitHub-এর Agentic Workflows ফিচারকে লক্ষ্য করে। একটি মাত্র কারুকাজ করা পাবলিক ইস্যু পোস্ট করে হ্যাকার প্রাইভেট রিপোজিটরি থেকে ডেটা চুরি করতে পারে। নিরাপত্তা গবেষকরা এই গুরুতর ঝুঁকি নিয়ে সতর্ক করেছেন।
সাইবার নিরাপত্তা প্রতিষ্ঠান Noma Security Inc. আজ একটি গুরুতর নিরাপত্তা দুর্বলতা প্রকাশ করেছে। এই দুর্বলতার নাম দেওয়া হয়েছে GitLost। এটি GitHub-এর নতুন Agentic Workflows ফিচারকে আক্রমণ করে।
GitLost দুর্বলতা ব্যবহার করে একজন অননুমোদিত হ্যাকার পাবলিক রিপোজিটরিতে একটি কারুকাজ করা ইস্যু পোস্ট করতে পারে। এর মাধ্যমেই সে প্রাইভেট কোড রিপোজিটরি থেকে সংবেদনশীল ডেটা চুরি করে নিতে পারে। Noma Labs-এর গবেষকরা এই দুর্বলতা আবিষ্কার করেছেন।
এই দুর্বলতা বিশেষভাবে বিপজ্জনক কারণ এটি প্রম্পট ইনজেকশন পদ্ধতিতে কাজ করে। প্রম্পট ইনজেকশন হলো এমন একটি কৌশল যেখানে AI সিস্টেমকে বিভ্রান্ত করার জন্য বিশেষভাবে তৈরি ইনপুট দেওয়া হয়। GitHub-এর Agentic Workflows ফিচার AI ব্যবহার করে ডেভেলপারদের কাজ স্বয়ংক্রিয় করে। কিন্তু এই ফিচারটি পাবলিক ইস্যু থেকে আসা ইনপুট সঠিকভাবে ফিল্টার করছিল না।
গবেষকরা দেখিয়েছেন যে একটি মাত্র ক্ষতিকারক ইস্যু পোস্ট করলেই AI ওয়ার্কফ্লো প্রাইভেট রিপোজিটরির ফাইল পড়তে শুরু করে। এরপর সেই ডেটা হ্যাকারের নিয়ন্ত্রিত সার্ভারে পাঠিয়ে দেওয়া হয়। এই আক্রমণ চালানোর জন্য ব্যবহারকারীর কোনো পূর্ব অনুমতি বা অ্যাকাউন্টের প্রয়োজন নেই।
Noma Security জানিয়েছে যে তারা GitHub-কে এই দুর্বলতার বিষয়ে আগেই জানিয়েছে। GitHub দ্রুত এই সমস্যার সমাধান করেছে। তবে ব্যবহারকারীদের সতর্ক থাকার পরামর্শ দেওয়া হচ্ছে। বিশেষ করে যারা Agentic Workflows ফিচার ব্যবহার করছেন তাদের সেটিংস চেক করা উচিত।
বাংলাদেশের ডেভেলপার এবং ফ্রিল্যান্সারদের জন্য এই খবর বিশেষভাবে গুরুত্বপূর্ণ। অনেক বাংলাদেশি ডেভেলপার GitHub-এ প্রাইভেট রিপোজিটরিতে তাদের ক্লায়েন্টের কোড এবং ব্যবসায়িক তথ্য সংরক্ষণ করেন। এই দুর্বলতা ব্যবহার করে হ্যাকাররা সেই সব গোপন কোড এবং API কী চুরি করতে পারত। বাংলাদেশের স্টার্টআপ এবং সফটওয়্যার কোম্পানিগুলোর জন্য এটি বড় ঝুঁকি ছিল।
সবাইকে এখনই তাদের GitHub রিপোজিটরির নিরাপত্তা সেটিংস পর্যালোচনা করার পরামর্শ দেওয়া হলো। Agentic Workflows ফিচারটি ব্যবহার না করলে তা বন্ধ রাখা ভালো। GitHub-এর নিরাপত্তা টিপস অনুসরণ করে এবং নিয়মিত অ্যাক্সেস কন্ট্রোল চেক করে এই ধরনের আক্রমণ থেকে নিজেদের রক্ষা করা সম্ভব।
GitHub-এর AI ফিচারগুলো দিন দিন জনপ্রিয় হচ্ছে। কিন্তু এই ঘটনা প্রমাণ করে যে AI সিস্টেমের নিরাপত্তা নিয়ে আরও সতর্ক থাকা প্রয়োজন। ভবিষ্যতে GitHub-এর মতো প্ল্যাটফর্মগুলোকে AI ওয়ার্কফ্লোতে আরও শক্তিশালী নিরাপত্তা ব্যবস্থা যোগ করতে হবে। ব্যবহারকারীদেরও নতুন ফিচার ব্যবহারের আগে নিরাপত্তা ঝুঁকি বুঝে নেওয়া উচিত।
আরও পড়ুন
এই সংবাদটি আন্তর্জাতিক সূত্রের তথ্য অবলম্বনে AI-সহায়তায় বাংলায় উপস্থাপন ও বাংলাদেশের প্রেক্ষাপটে সম্পাদিত। মূল তথ্যের জন্য নিচের সূত্র দেখুন।
মূল প্রতিবেদন: SiliconAngle AI
সোর্স দেখুন ↗মন্তব্য০
লোড হচ্ছে...