深入Ghostcommit:恶意PNG如何绕过AI代码审查者
摘要
Ghostcommit是一种新型供应链利用方式,它使用包含文本指令的恶意PNG图像来绕过AI代码审查者,导致开发者环境中的数据泄露。
90秒速览核心要点:
多模态漏洞:Ghostcommit是一种针对具备视觉能力的AI编码工具的新型供应链利用方式。
载荷拆分:该攻击使用双文件载荷。一个基于文本的规则文件(例如AGENTS.md)指示AI读取包含渲染文本指令的PNG资产(如build-spec.png)。
绕过审查者:自动化代码审查工具(如CodeRabbit)无法扫描二进制图像资产的像素,从而使恶意拉取请求能够通过安全检查。
数据泄露:一旦合并,开发者的本地AI代理会读取图像、处理视觉提示、提取敏感的.env密钥,并将其编码为无害数组进行泄露。
流水线加固:通过禁用自动化流水线代理的视觉能力、沙箱化执行环境以及实施严格的输入边界来缓解此风险。
相似文章
'Ghostcommit'在图片中隐藏提示注入以欺骗AI代理,窃取机密
研究人员展示了一种新的提示注入攻击,恶意指令隐藏在图像中,绕过AI代码审查员,导致编码代理泄露仓库机密。
GitLost:我们诱骗GitHub的AI代理泄露私有仓库
Noma Labs发现GitHub的Agentic Workflows中存在一个严重的提示注入漏洞,允许未经身份验证的攻击者通过在同一组织的公共仓库中发布精心构造的GitHub Issue,从私有仓库中窃取数据。
事件 CVE-2026-LGTM
一份讽刺性事件报告,详细描述了恶意软件包如何因各种故障绕过多个AI驱动的安全门,最终只有在攻击者的代理读取了本不应读取的文件后才得以解决。
执行代码的配置文件:供应链安全盲点
IDE、AI编码智能体和包管理器的配置文件可以自动执行代码,从而形成供应链安全盲点。本文详细介绍了利用此类配置文件释放恶意软件的Miasma蠕虫攻击,并提供了注入向量的示例。
AI工作空间劫持:Jscrambler NPM攻击剖析
攻击者劫持了Jscrambler的NPM凭证,发布了恶意版本,利用一个未记录的基于Rust的信息窃取器,从Cursor和Claude Desktop等AI工具中窃取API密钥和开发者历史记录。