主要观点：

• 研究团队发现 GitLab Duo 存在多种漏洞，包括隐藏注释导致私人源代码泄露、在响应中注入不可信 HTML 等。
• 展示了从提示注入到 HTML 注入的完整攻击链，涉及 2025 OWASP Top 10 中的五个漏洞。
• 强调了 AI 助手如 GitLab Duo 的双刃剑性质，虽集成到开发工作流中但也带来风险。

关键信息：

• 通过在 GitLab 项目的不同部分嵌入隐藏提示，如合并请求描述、提交消息等，GitLab Duo 会响应并受其影响。
• 利用编码技巧如 Unicode 走私、Base16 编码和 KaTeX 渲染使提示不易被察觉，这些隐藏指令仍被 Duo 识别。
• Duo 易受多种攻击行为影响，如操纵代码建议、呈现恶意 URL 等，且其响应格式易受 HTML 注入攻击。
• Duo 的权限可访问用户的私人代码，利用此可泄露私人项目源代码。
• 同样技术可用于泄露机密问题数据，如零日漏洞。
• GitLab 确认并修复了 HTML 注入和提示注入漏洞，发布补丁防止 Duo 渲染不安全 HTML 标签。

重要细节：

• 展示了多个实验截图，如 GitLab Duo 对隐藏提示的响应、利用 KaTeX 隐藏指令等。
• 详细说明了异步 markdown 解析导致 AI 答案过早渲染为 HTML 从而引发风险。
• 举例说明了完整攻击场景，从攻击者嵌入隐藏提示到受害者与 Duo 交互导致源代码泄露。
• 强调了在 AI 工具中，不仅要确保生成内容安全，也要注意其摄入内容的安全性。