CodeQL erkennt jetzt System-Prompt-Injection: KI-Sicherheit als Datenfluss in der CI
CodeQL 2.26.0 macht aus Prompt-Sicherheit eine prüfbare Vertrauensgrenze zwischen Benutzereingaben, Systemanweisungen und Tool-Beschreibungen.
Was ist passiert?
GitHub hat CodeQL 2.26.0 am 10. Juli 2026 veröffentlicht. Die neue JavaScript/TypeScript-Abfrage `js/system-prompt-injection` verfolgt nicht vertrauenswürdige Werte bis zu System-Prompts und Tool-Beschreibungen.
Warum ist das wichtig?
Die Abfrage modelliert APIs von OpenAI, Anthropic und Google GenAI. Ihre Hilfe empfiehlt, freie Eingaben als User-Nachricht oder strukturierten Parameter zu übergeben und notwendige dynamische Instruktionen über feste Allowlists zu begrenzen.
Signale aus der Praxis
Statische Analyse ist nur eine Schicht. Indirekte Inhalte aus Web, E-Mail oder RAG benötigen adversariale Tests; Tool-Aufrufe brauchen serverseitige Autorisierung, Mandantengrenzen und Freigaben.
Auswirkungen auf Entwicklung und Betrieb
Führen Sie CodeQL zuerst im Audit-Modus ein, sperren Sie dann neue hochpräzise Pfade und wiederholen Sie Tests nach Änderungen an Modell, SDK, Prompt oder Tools.
Checkliste für diese Woche
✓Aktualisieren Sie das CodeQL-Bundle.
✓Verschieben Sie freie Eingaben in User-Nachrichten oder strukturierte Tool-Parameter.
✓Sichern Sie Tool-Aufrufe serverseitig mit minimalen Rechten und Freigaben.
Risiken und Gegenargumente
Führen Sie CodeQL zuerst im Audit-Modus ein, sperren Sie dann neue hochpräzise Pfade und wiederholen Sie Tests nach Änderungen an Modell, SDK, Prompt oder Tools.