CodeQL erkennt jetzt System-Prompt-Injection: KI-Sicherheit als Datenfluss in der CI

Tech

CodeQL 2.26.0 macht aus Prompt-Sicherheit eine prüfbare Vertrauensgrenze zwischen Benutzereingaben, Systemanweisungen und Tool-Beschreibungen.

CodeQL 2.26.0 macht aus Prompt-Sicherheit eine prüfbare Vertrauensgrenze zwischen Benutzereingaben, Systemanweisungen und Tool-Beschreibungen.
Statische Analyse ist nur eine Schicht. Indirekte Inhalte aus Web, E-Mail oder RAG benötigen adversariale Tests; Tool-Aufrufe brauchen serverseitige Autorisierung, Mandantengrenzen und Freigaben.

Was ist passiert?

GitHub hat CodeQL 2.26.0 am 10. Juli 2026 veröffentlicht. Die neue JavaScript/TypeScript-Abfrage `js/system-prompt-injection` verfolgt nicht vertrauenswürdige Werte bis zu System-Prompts und Tool-Beschreibungen.

Warum ist das wichtig?

Die Abfrage modelliert APIs von OpenAI, Anthropic und Google GenAI. Ihre Hilfe empfiehlt, freie Eingaben als User-Nachricht oder strukturierten Parameter zu übergeben und notwendige dynamische Instruktionen über feste Allowlists zu begrenzen.

Signale aus der Praxis

Statische Analyse ist nur eine Schicht. Indirekte Inhalte aus Web, E-Mail oder RAG benötigen adversariale Tests; Tool-Aufrufe brauchen serverseitige Autorisierung, Mandantengrenzen und Freigaben.

Auswirkungen auf Entwicklung und Betrieb

Führen Sie CodeQL zuerst im Audit-Modus ein, sperren Sie dann neue hochpräzise Pfade und wiederholen Sie Tests nach Änderungen an Modell, SDK, Prompt oder Tools.

Checkliste für diese Woche

Aktualisieren Sie das CodeQL-Bundle.

Verschieben Sie freie Eingaben in User-Nachrichten oder strukturierte Tool-Parameter.

Sichern Sie Tool-Aufrufe serverseitig mit minimalen Rechten und Freigaben.

Risiken und Gegenargumente

Führen Sie CodeQL zuerst im Audit-Modus ein, sperren Sie dann neue hochpräzise Pfade und wiederholen Sie Tests nach Änderungen an Modell, SDK, Prompt oder Tools.

Quellen