- O tehnică numită Ghostcommit folosește imagini PNG pentru a injecta comenzi în agenți AI, ocolind verificările de securitate și extrăgând date confidențiale din depozitele de cod.
Cercetătorii în securitate au demonstrat un nou tip de atac, denumit Ghostcommit, care ascunde injecții de prompt în imagini PNG pentru a compromise agenții AI specializați în codare. Atacul ocolește instrumentele de revizuire a codului precum CodeRabbit și Bugbot, care nu deschid niciodată fișierele imagine, și păcălește agentul să citească fișiere sensibile precum .env, apoi să exfiltreze secretele codificându-le sub formă de numere în codul sursă.
Cum funcționează Ghostcommit
Atacul se bazează pe o imagine PNG aparent inofensivă, care este inclusă într-un depozit de cod. Când un agent AI de codare (de exemplu, un asistent de tip coding agent) procesează depozitul, el nu deschide imaginea direct, dar unelte de analiză sau chiar agentul însuși poate fi păcălit să o citească. Metoda exploatată se numește „injectare de prompt ascunsă” – datele binare ale imaginii sunt manipulate astfel încât, atunci când un model de limbaj le interpretează, ele conțin instrucțiuni rău intenționate. În cazul Ghostcommit, cercetătorii au reușit ca un agent AI să extragă variabilele de mediu dintr-un fișier .env și să le scrie ca o listă de numere în cod, făcând secretele accesibile atacatorului.
De ce este periculos
Particularitatea Ghostcommit este că nu necesită ca agentul să deschidă imaginea – simpla prezență a fișierului PNG în depozit poate declanșa lanțul de atac. Practic, orice echipă care folosește agenți AI pentru revizuirea codului sau automatizări devine vulnerabilă. Atacul subliniază o problemă fundamentală: modelele de limbaj nu pot distinge cu ușurință între instrucțiunile legitime și cele inserate în date aparent inerte (imagini, metadate etc.). În plus, uneltele actuale de securitate nu sunt pregătite să detecteze acest tip de amenințare, deoarece nu scanează conținutul ascuns al fișierelor media.
Ce înseamnă pentru tine
Dacă lucrezi cu agenți AI în fluxurile tale de dezvoltare, trebuie să fii conștient de acest risc. Iată câteva măsuri practice:
- Nu încredința agenților AI acces nelimitat la depozitele de cod – limitează permisiunile doar la ceea ce este strict necesar.
- Monitorizează fișierele media din depozit – adaugă verificări automate pentru a semnala orice imagine sau alt fișier binar care conține date suspecte.
- Actualizează politicile de securitate – include în ghidurile echipei avertizări privind injectarea de prompt prin fișiere aparent inofensive.
Pe termen lung, comunitatea de securitate va trebui să dezvolte metode de scanare a conținutului ascuns în fișiere media, iar dezvoltatorii de agenți AI să implementeze filtre mai stricte pentru datele de intrare.