CodeQL 2.26.0增加了Kotlin 2.4.0支持和AI提示注入检测

CodeQL是GitHub代码扫描背后的静态分析引擎,它可以发现并修复代码中的安全问题。我们最近发布了CodeQL 2.26.0 ,它增加了对Kotlin 2.4.0的支持……后来的CodeQL 2.26.0增加了对Kotlin 2.4.0的支持和AI提示注入检测功能……

CodeQL是GitHub代码扫描背后的静态分析引擎,它可以发现并修复代码中的安全问题。我们最近发布了CodeQL 2.26.0,它增加了对Kotlin 2.4.0的支持,引入了用于系统提示注入的JavaScript和TypeScript查询,并提高了跨多种语言的分析准确性。Kotlin: CodeQL现在支持2.4.0之前的Kotlin版本。

C #:我们添加了Razor Page处理程序方法参数,例如OnGet、OnPost和OnPostAsync的参数,作为远程流源。安全查询(如cs/sql-injection )现在可以检测PageModel子类中涉及这些参数的漏洞。Go:我们为Go 1.21中引入的日志/日志包添加了模型。

Go/log-injection和go/clear-text-logging查询现在可以检测使用slog包函数和slog.Logger方法的代码中的问题。JavaScript/TypeScript:我们为其他OpenAI、Anthropic和Google GenAI SDK API添加了提示注入接收器,包括Sora提示、OpenAI实时会话说明、Anthropic遗留完成提示以及Google GenAI缓存的内容和系统说明。

我们添加了js/system-prompt-injection查询,以检测何时用户提供的不受信任的值流入AI模型的系统提示,从而允许攻击者操纵模型的行为。我们添加了实验性javascript/ssrf-ipv6-transition-incomplete-guard查询,以检测拒绝私有IPv4范围但可以使用IPv6转换地址格式绕过的服务器端请求伪造(SSRF)防护。

Go/unhandled-writable-file-close查询现在产生更少的误报。当每个执行路径首先处理同一文件句柄上的同步调用时,它不再将延迟调用标记为关闭。py/modification-of-locals查询不再在locals ()字典超出其创建范围之后对其进行修改,从而减少误报。