Startsida AI Forskare: Ofarliga bilder kan lura din AI-assistent att läcka dina...

Forskare: Ofarliga bilder kan lura din AI-assistent att läcka dina lösenord

Forskare: Ofarliga bilder kan lura din AI-assistent att läcka dina lösenord
Levererat av Teksajten

En vanlig PNG-bild i ett kodprojekt kan innehålla dolda kommandon som får AI-kodassistenter att skicka ut dina hemligheter.

Attacken kallas GhostCommit och demonstrerades nyligen av ASSET Research Group vid University of Missouri-Kansas City. Forskarna visade att en angripare kan gömma instruktioner i en bild i ett vanligt kodrepo, och sedan få verktyg som Cursor att läsa ut hela `.env`-filen, alltså den fil där de flesta utvecklare sparar lösenord och API-nycklar.

Tricket är att bilden ser helt oskyldig ut för den som granskar en pull request, och att AI-drivna kodgranskare som CodeRabbit och Cursor Bugbot hoppar över bildfiler. Först när utvecklaren senare ber sin AI-assistent om något helt annat, som att lägga till en funktion, läser agenten bilden och följer instruktionerna, enligt forskarnas publicering på GitHub.

Så fungerar attacken

Ingången är en helt legitim `AGENTS.md`, en instruktionsfil som AI-agenter läser för att förstå hur ett projekt är uppsatt. Filen hänvisar till en PNG-bild, och där gömmer sig den egentliga nyttolasten som text.

Instruktionen ber agenten läsa `.env`-filen byte för byte, koda om innehållet som en följd av heltal och plantera talföljden i källkoden. Formatet gör att vanliga hemlighetsscanners inte känner igen läckan, rapporterar Cybersecurity News.

Verktyget spelade större roll än modellen

Forskarna testade attacken med tio körningar per kombination. Cursor och Antigravity läckte hela `.env`-filen oavsett om de kördes med Claude Sonnet 4.6, GPT-5.5, Gemini 3.1 Pro eller Composer-2. Codex CLI med GPT-5.4 föll också.

Claude Code vägrade däremot att utföra attacken över samtliga testade modeller, inklusive Sonnet 4.6, Haiku 4.5 och Opus 4.7. Slutsatsen var att skalet runt modellen väger tyngre än själva modellvikterna: samma Sonnet-modell gav motsatta resultat beroende på vilket verktyg den kördes i.

Granskarna missar bilderna helt

En bidragande orsak är att dagens automatiska granskare inte tittar in i bildfiler. CodeRabbit exkluderar PNG-filer i standardinställningen, och Bugbot returnerade inga varningar i testerna.

Samtidigt visade en genomgång av 64 806 pull requests från de 300 mest aktiva öppna repona att 73 procent av alla sammanslagningar till huvudgrenen skedde utan någon substantiell granskning från vare sig människa eller bot, enligt genomgången som Mallory sammanfattar. Det lämnar ett brett fönster för attacker som göms i binärfiler.

Vad utvecklare kan göra

För allt fler svenska utvecklare och företag är AI-kodassistenter en daglig arbetsvana, och GhostCommit visar att `AI granskade min kod` inte längre är någon säkerhetsgaranti i sig.

Forskarna själva rekommenderar tre konkreta åtgärder: kräv manuell granskning av ändringar i policyfiler som `AGENTS.md`, begränsa vilka filer AI-agenten har läsrättigheter till, och behandla bilder och andra binära tillgångar som möjliga instruktionskanaler snarare än inert data.

Som skyddsverktyg har gruppen byggt en så kallad multimodal pull-request-granskare, en GitHub-app som körs på ett grafikkort med fyra gigabyte minne och som läser både kod och bildinnehåll. I ett skarpt test fångade den 49 av 50 attacker i ett urval av 80 tidigare osedda pull requests, samtidigt som ingen av de 30 legitima ändringarna i urvalet gav falsklarm.

Forskarna har underrättat berörda leverantörer och släppt en proof-of-concept öppet på GitHub så att andra kan reproducera resultaten.

Ads by MGDK