Säkerhetsforskare har upptäckt en ny Ghostcommit-attack som riktar sig mot AI-kodningsassistenter. I stället för att placera skadliga instruktioner i koden gömmer angriparna dem i PNG-bilder. Tekniken gör det möjligt för skadliga pull requests att passera automatiserade kodgranskningar innan AI-agenter omedvetet avslöjar känslig data från kodarkiv.
Forskarna säger att attacken utnyttjar en lucka mellan AI-verktyg för kodgranskning och AI-kodningsassistenter. Det ena systemet ignorerar bildfiler, medan det andra behandlar dem som betrodda projektinstruktioner.
AI-verktyg för kodgranskning ignorerar den skadliga bilden
Ghostcommit-attacken utvecklades av forskare vid ASSET Research Group vid University of Missouri–Kansas City.
Deras proof-of-concept visar hur angripare kan skicka in en till synes harmlös pull request som innehåller en PNG-bild med inbäddade instruktioner för promptinjektion. Många automatiserade verktyg för kodgranskning hoppar över bildfiler helt. Därför passerar det skadliga innehållet granskningen utan att några varningar utlöses.
Forskarna har publicerat ett proof-of-concept och delat sina resultat med de berörda leverantörerna.
Dold PNG-fil får AI att avslöja hemligheter
I stället för att lagra skadliga instruktioner i källkoden göms de i en PNG-fil som refereras från ett AGENTS.md-dokument.
AGENTS.md-filen ser ut att innehålla vanliga projektriktlinjer. Den instruerar dock AI-kodningsassistenter att öppna bilden. PNG-filen innehåller instruktioner som uppmanar AI att läsa kodarkivets .env-fil, omvandla varje byte till heltal och infoga dessa värden i källkoden som vad som verkar vara en harmlös konstant.
Eftersom den stulna datan kodas som heltal i stället för klartext känner traditionella verktyg för hemlighetsskanning inte igen läckan.
I ett test skapade en AI-kodningsassistent en modul med över 300 heltal. Dessa värden kunde senare avkodas till hela innehållet i .env-filen.
Attacken aktiveras först senare
Den skadliga pull requesten stjäl inte några hemligheter direkt efter att den har slagits samman.
I stället förblir nyttolasten inaktiv tills en utvecklare senare ber en AI-kodningsassistent att utföra en rutinmässig programmeringsuppgift. När assistenten startar läser den den betrodda AGENTS.md-filen. Därefter öppnar den den refererade PNG-filen och följer de dolda instruktionerna samtidigt som den genererar den begärda koden.
Utvecklaren får den funktion som efterfrågades och skickar in ändringarna. Utan att märka det publiceras även de kodade hemligheterna från kodarkivet. Angriparna kan därefter avkoda siffrorna och återställa de ursprungliga inloggningsuppgifterna.
Kodningsplattformen avgör utfallet
Forskarna konstaterade att Ghostcommit-attackens framgång berodde mer på kodningsplattformen än på den underliggande AI-modellen.
Flera kodningsverktyg följde de dolda instruktionerna och läckte hemligheter från kodarkiv med flera olika AI-modeller. Andra plattformar vägrade konsekvent att utföra de skadliga åtgärderna, även när de använde samma språkmodell.
En AI-kodningsassistent genererade till och med den kodade hemligheten innan den upptäckte det misstänkta beteendet. Därefter raderade den datan innan uppgiften slutfördes.
Resultaten tyder på att skydd under körning och plattformsspecifika säkerhetsåtgärder är minst lika viktiga som förbättringar av själva AI-modellerna.
Forskarna rekommenderar flera skyddslager
För att motverka problemet utvecklade forskarna ett multimodalt system för granskning av pull requests som analyserar både källkod och bilder.
Systemet söker efter dolda tecken, analyserar kodens struktur, granskar projektkonventioner med hjälp av AI och inspekterar bifogade bilder efter försök till promptinjektion.
Under tester analyserade prototypen 80 tidigare osedda pull requests. Den upptäckte samtliga bildbaserade attacker utom en. Dessutom gav den inga falska positiva resultat bland 30 legitima pull requests.
Forskarna rekommenderar också att AI-kodningsassistenter övervakas medan de körs. Ovanligt beteende, exempelvis åtkomst till filer med inloggningsuppgifter utan legitim anledning, kan avslöja en attack innan känslig information exponeras.


0 svar till ”Ghostcommit-attack använder PNG-bilder för att lura AI-kodningsagenter att läcka hemligheter”