CodeQL ora rileva la system prompt injection: la sicurezza AI diventa un flusso dati in CI

Tech

CodeQL 2.26.0 rende verificabile il confine di fiducia tra input utente, istruzioni di sistema e descrizioni dei tool.

CodeQL 2.26.0 rende verificabile il confine di fiducia tra input utente, istruzioni di sistema e descrizioni dei tool.
L’analisi statica è un solo livello. I contenuti indiretti da web, email o RAG richiedono test avversari, mentre i tool necessitano di autorizzazioni server e isolamento tenant.

Che cosa è successo

GitHub ha pubblicato CodeQL 2.26.0 il 10 luglio 2026. La query `js/system-prompt-injection` segue valori non attendibili fino ai system prompt e alle descrizioni dei tool.

Perché conta

La query modella API OpenAI, Anthropic e Google GenAI. Il testo libero va passato come messaggio utente o parametro strutturato; le istruzioni dinamiche devono usare allowlist fisse.

Segnali dalla community

L’analisi statica è un solo livello. I contenuti indiretti da web, email o RAG richiedono test avversari, mentre i tool necessitano di autorizzazioni server e isolamento tenant.

Impatto su sviluppo e operations

Parti in modalità audit, blocca poi i nuovi percorsi ad alta confidenza e ripeti tutto dopo modifiche a modello, SDK, prompt o tool.

Checklist della settimana

Aggiorna il bundle CodeQL.

Sposta il testo libero in messaggi utente o parametri strutturati.

Applica autorizzazioni e approvazioni lato server.

Rischi e obiezioni

Parti in modalità audit, blocca poi i nuovi percorsi ad alta confidenza e ripeti tutto dopo modifiche a modello, SDK, prompt o tool.

Fonti