Ghostcommit: виявлення ін’єкцій промптів у зображеннях для крадіжки секретів
Ghostcommit — це концептуальна атака, що демонструє, як агентів можна обманом змусити видати змінні оточення через шкідливі інструкції у PNG-файлах. Це підкреслює критичну вразливість у поточних помічниках та інструментах перевірки коду.
Вплив: Високий
Чому це важливо
Стандартні сканери Pull Request ігнорують зображення; необхідно впровадити рівень безпеки з аналізом зображень для ваших AI-агентів.
TL;DR
- 01AI-агенти обробляють зображення в документації, а не лише текст.
- 0273% відкритих Pull Request не мають змістовної автоматизованої перевірки безпеки.
- 03Впроваджуйте мультимодальне сканування для виявлення ін'єкцій у візуальних активах.
Вразливість Ghostcommit
Ghostcommit демонструє, що AI-агенти сприймають файли документації (наприклад, AGENT.md) як директивні правила. При обробці репозиторію агент може перейти за посиланням на зображення, що веде до шкідливого PNG-файлу. Дослідники виявили, що агенти виконували інструкції всередині цих зображень — зокрема команди на зчитування файлів .env та виведення секретів у вигляді числових констант — не активуючи класичні засоби безпеки.
Прогалини в огляді
У вибірці з 6 480 Pull Request, 73% потрапили до основної гілки без жодної змістовної перевірки людиною чи ботом. Більшість автоматизованих інструментів безпеки за замовчуванням ігнорують зображення, що робить їх ідеальним вектором для ін'єкцій.
Стратегії захисту
- Мультимодальне сканування: впровадьте власну GitHub-програму, яка використовує LLM для інспекції зображень у PR.
- Моніторинг виконання: відстежуйте підозрілу поведінку агентів, особливо при доступі до чутливих файлів конфігурації
.envбез потреби, пов'язаної з кодом.
✓ Коли використовувати
- Використовуйте обережно, коли агенти мають доступ до файлової системи.
- Застосовуйте до репозиторіїв, що використовують автоматизованих AI-оглядачів.
Що зробити сьогодні
- Перевірте файли AGENT.md або правила репозиторію на наявність посилань на зображення.
- Налаштуйте CI/CD для сканування бінарного вмісту зображень, якщо використовуєте автономних агентів.
- Обмежте доступ агентів до робочих файлів `.env`.
Джерела