CodeQL ora rileva la system prompt injection: la sicurezza AI diventa un flusso dati in CI
CodeQL 2.26.0 rende verificabile il confine di fiducia tra input utente, istruzioni di sistema e descrizioni dei tool.
Che cosa è successo
GitHub ha pubblicato CodeQL 2.26.0 il 10 luglio 2026. La query `js/system-prompt-injection` segue valori non attendibili fino ai system prompt e alle descrizioni dei tool.
Perché conta
La query modella API OpenAI, Anthropic e Google GenAI. Il testo libero va passato come messaggio utente o parametro strutturato; le istruzioni dinamiche devono usare allowlist fisse.
Segnali dalla community
L’analisi statica è un solo livello. I contenuti indiretti da web, email o RAG richiedono test avversari, mentre i tool necessitano di autorizzazioni server e isolamento tenant.
Impatto su sviluppo e operations
Parti in modalità audit, blocca poi i nuovi percorsi ad alta confidenza e ripeti tutto dopo modifiche a modello, SDK, prompt o tool.
Checklist della settimana
✓Aggiorna il bundle CodeQL.
✓Sposta il testo libero in messaggi utente o parametri strutturati.
✓Applica autorizzazioni e approvazioni lato server.
Rischi e obiezioni
Parti in modalità audit, blocca poi i nuovi percorsi ad alta confidenza e ripeti tutto dopo modifiche a modello, SDK, prompt o tool.