Ett Klikk Kan Gi Hackere Full Tilgang til Dine Private GitHub-repositorier

Han uttalte direkte at han ikke hadde "noen interesse" av å hanskes med MSRC-prosessen igjen . Den tidligere feilen ble opprinnelig rapportert til GitHubs HackerOne-program, som kontant avviste den som utenfor deres virkeområde og ba ham gå til MSRC – en byråkratisk kasteball som gjorde at funnet forble ukompensert og uanerkjent .

Slik fungerer angrepet: En kjede i fire trinn

Angrepsmetoden orkestrerer tre sårbarheter til en sømløs kjede som omgår alle sikkerhetsbarrierer github.dev har.

1. Videresending av tastetrykk fra webview

VS Codes "webviews" – de isolerte sandkassene som kjører Jupyter Notebooks, Markdown-forhåndsvisninger og liknende innhold – er utformet som sikrede avlukker. Men for at tastatursnarveiene skal fungere i dem, videresender editoren tastetrykkhendelser fra den sandkasse-beskyttede webviewen til hovededitoren .

2. Injeksjon av syntetiske tastetrykk

En ondsinnet Jupyter Notebook i angriperens repositorium sender syntetiske tastaturhendelser (Ctrl+Shift+A, Ctrl+F1) fra sandkasse-webviewen rett inn i VS Codes hovedvindu . Disse tastetrykkene utløser lydløst kommandoen "Installer utvidelse" og forbigår dialogboksen for verifisering av utgiver, som normalt stopper ubetrodde utvidelser .

3. Lokal tillit til arbeidsområdeutvidelser

Angriperens repositorium inneholder en ferdigpakket VS Code-utvidelse lagret i en .vscode/extensions-mappe. Fordi github.dev behandler utvidelser som følger med et arbeidsområde som implisitt betrodd ("når koden først er åpnet, stoler vi på den"), installeres den skadelige utvidelsen uten et eneste spørsmål om tillatelse .

4. Eksfiltrering av OAuth-token

Når den kjører, får den kaprede utvidelsen full tilgang til github.dev sitt kjøretidsmiljø. Dette miljøet holder på et GitHub OAuth-token som github.com lydløst sender til github.dev når et repositorium åpnes. Kritisk nok er dette tokenet ikke begrenset til repositoriet som vises – det bærer med seg brukerens fulle tilgangsrettigheter . Utvidelsen henter ut tokenet, gjør API-oppslag mot GitHub for å hente offerets private repositorium-liste, og sender både tokenet og repositoriumsinformasjonen tilbake til angriperen .

Resultatet: Komplett lese- og skrivetilgang til alle offentlige og private repositorier offeret kan røre, oppnådd med ett klikk på en lenke .

Microsofts respons

Microsoft bekreftet sårbarheten den 2. juni 2026 og meldte at den var redusert for sine tjenester – konkret for github.dev og VS Code for Web .

Den 3. juni rullet Microsoft ut server-side-reparasjoner: et nytt tillitsbekreftelsestrinn når man åpner nettleserbaserte Notebooks, samt blokkering av at installasjonskommandoen for utvidelser tar imot vilkårlig anropsinformasjon . Innen 4. juni var ytterligere restriksjoner på webview hendelseshåndtering på plass .

Microsoft presiserte at problemet ikke påvirker VS Code Desktop . Men den underliggende svakheten – å stole på arbeidsområde-utvidelser med utilstrekkelig verifisering – vekker bekymring for alle VS Code-brukere som åpner ubetrodd kode lokalt.

Hva gjør dette spesielt?

Angrepsrekken er bemerkelsesverdig av tre grunner.

For det første er angrepsflaten en nettadresse. Ofre laster ikke ned en fil, åpner ikke en terminal eller godkjenner en tillatelse – en nettleserlenke til github.dev er alt som skal til.

For det andre er tokenets virkeområde urovekkende bredt. OAuth-tokenet github.com sender til github.dev er ikke begrenset til repositoriet du ser på. Det bærer med seg hele brukerens GitHub-tilgang. Det betyr at en angriper som kompromitterer en utvikler på et offentlig åpen kildekode-prosjekt, samtidig får tilgangsrettighetene til utviklerens arbeidsgivers private repositorier .

For det tredje er tillit til arbeidsområdet snudd på hodet. Funksjonen som gjør lokal utvikling smidig – å stole på utvidelser som følger med et prosjekt – blir selve mekanismen som gir den ondsinnede koden automatisk kjøring.

OpenClaw AI-agent: Fem null-dagers feil for identitetssvindel

I en parallell avsløring publiserte forskere fem null-dagers sårbarheter i AI-agent-rammeverket OpenClaw. Disse feilene lar angripere utgi seg for å være godkjente brukere og kapre betrodde AI-agenters tilgang på tvers av ulike meldingsplattformer .

Rotårsaken er arkitektonisk: OpenClaw støtter 15 forskjellige kanaladaptere – Telegram, Slack, Discord, WhatsApp og flere – og hver adapter implementerer sin egen godkjenningsliste-autorisasjon og webhook-verifisering uavhengig av de andre . De sikkerhetskritiske identitetsfeltene som brukes for godkjenningslisten, som for eksempel visningsnavn, kan enkelt endres på plattformnivå og blir deretter oversatt til stabile bruker-ID-er på svært inkonsistent vis .

Fordi det ikke finnes noe sentralisert grensesnitt for håndheving av retningslinjer, kan angripere:

• Utgi seg for en godkjent bruker på én kanal, simpelthen ved å endre visningsnavnet sitt til å matche en autorisert identitet .
• Utnytte inkonsistent identitetsoversettelse på tvers av ulike kanaltillegg for å omgå tillitssjekker som fungerer på én kanal, men feiler på en annen .
• Overta AI-agentens tilgangsrettigheter – som ofte inkluderer tilgang til kommandolinje (shell), API-nøkler og filsystemtillatelser – uten å trenge noen gyldig innlogging .

En sikkerhetsanalyse på arXiv fra 3. juni 2026 identifiserte sårbarheter på tvers av en rekke arkitektoniske lag (utførelsespolicy, gateway, kanal, sandkasse, nettleser, plugin, prompt), og det dominerende strukturelle mønsteret var per-lag, per-anropssted tillitshåndhevelse istedenfor helhetlige policy-grenser . Analysen fant at enkeltstående arkitektoniske svakheter kan settes sammen til fullstendige kjeder for uautentisert ekstern kodekjøring .

Singapores Cyber Security Agency (CSA) sendte i slutten av mai 2026 ut et varsel om upatchede sårbarheter, svake tilgangskontroller og risikoen for ondsinnede tredjepartsferdigheter på ClawHub-markedsplassen .