据SecurityWeek 16日 报道，安全工程师Aonan Guan公开披露了一种名为“Comment and Control”的提示注入攻击技术，可同时针对Anthropic的Claude Code、Google的Gemini CLI以及GitHub Copilot Agent。

报道称，这一攻击在约翰斯·霍普金斯大学研究人员的协助下被发现。其核心做法是篡改GitHub评论、拉取请求（PR）标题和Issue正文等常见内容，使AI代理将恶意输入识别为可执行指令，继而按攻击者意图运行命令。

Aonan Guan表示，在对Claude Code进行安全评估时，他曾利用特制的PR标题诱导AI代理执行任意命令，并读取凭证，最终通过安全报告或GitHub Actions日志带出相关敏感信息。

在Gemini CLI与GitHub Actions结合使用的场景下，他还通过植入提示注入内容的Issue评论绕过防护机制，并窃取完整的API密钥。

针对GitHub Copilot Agent，攻击者则可将恶意载荷隐藏在HTML注释中，以绕过环境过滤机制，随后扫描机密信息，并将数据外传至网络防护边界之外。

其中，针对Claude Code和Gemini CLI的攻击可由GitHub Actions工作流自动触发，无需受害者额外操作；而针对Copilot的攻击，则需要受害者手动将Issue分配给Copilot。

Aonan Guan指出，这种攻击模式适用于所有会处理不可信GitHub数据、且在与运行时密钥相同环境中调用执行工具的AI代理。即便脱离GitHub Actions，Slack机器人、Jira代理、邮件代理以及部署自动化等场景也只是攻击入口不同，其底层模式并无本质差异。

目前，Anthropic、Google和GitHub均已确认相关问题。Anthropic将该问题定级为严重（Critical），在采取部分缓解措施的同时发放了100美元漏洞赏金；Google支付了1337美元；GitHub则支付500美元，并将其归类为已知的架构性限制。

Aonan Guan强调，这是首次公开展示“以单一提示注入模式同时攻击三款主流AI代理”的跨厂商案例。其根源在于架构设计本身：AI代理被设计为在同一运行环境中同时处理外部输入，以及API密钥、Token等敏感信息。一旦恶意指令进入该环境，就可能直接触达并带出敏感数据。