Как 1 картинка может взломать вашего ИИ-агента через скрытые инструкции
Механизм атаки базируется на слепой зоне автоматизированных систем проверки кода. Вредоносная команда маскируется не в текстовых документах, а внутри графического объекта. Когда операционная система предупреждает, что файл который вы пытаетесь открыть может нанести вред вашему компьютеру, разработчики обычно игнорируют графику, считая ее безопасной. Однако ИИ-модели считывают встроенные в пиксели инструкции как легитимные задачи. Companies
В основе эксплойта лежит использование файла конфигурации, который ссылается на PNG-изображение. Проверяющие боты, такие как CodeRabbit, по умолчанию пропускают графику, воспринимая ее как бинарный набор данных. В результате вредоносный промпт беспрепятственно проходит валидацию и ожидает активации в фоновом режиме. Techno-news
Хронология кражи: от загрузки до утечки секретов
Процесс компрометации разделен на несколько этапов, чтобы обойти стандартные сканеры безопасности. Атака активируется только тогда, когда программист дает ИИ-помощнику рутинную задачу, например, написать базовый модуль отслеживания токенов.
- Злоумышленник загружает в репозиторий безобидный на вид файл правил, ссылающийся на модифицированное изображение.
- ИИ-агент при выполнении очередной задачи считывает графический файл и обнаруживает скрытую команду на чтение служебного документа с паролями.
- Нейросеть конвертирует каждый байт секретных ключей в числовой формат и незаметно вписывает этот массив данных в генерируемый исходный код.
- Разработчик публикует изменения, а хакер извлекает из публичного доступа числовой массив и декодирует его обратно в пароли.
В ходе тестов популярный редактор Cursor выполнил подобную задачу с первой попытки, выдав последовательность из сотен целых чисел, скрывающих полное содержимое конфигурационного файла.
Масштаб проблемы и эшелонированная защита
Анализ более шести тысяч запросов на слияние в публичных репозиториях показал, что в 73% случаев код попадает в основную ветку без содержательной проверки человеком. Инструменты поиска утечек также не замечают угрозу, поскольку не конвертируют числовые массивы обратно в текстовый формат для анализа.
Исследователи подчеркивают, что поведение системы зависит не только от самой языковой модели, но и от программной оболочки. Для предотвращения подобных инцидентов эксперты рекомендуют внедрять многоуровневую фильтрацию:
- Обязательное сканирование графических файлов на наличие скрытых текстовых инструкций перед их добавлением в проект.
- Блокировка несанкционированных обращений ИИ-агента к файлам, содержащим конфиденциальные переменные окружения.
- Внедрение независимых прокси-серверов для аудита всех действий автономных помощников в реальном времени.
Частые вопросы
Как именно атака Ghostcommit использует картинки для взлома ИИ?
Злоумышленники скрывают текстовые инструкции для нейросети внутри обычного PNG-изображения. Текстовые сканеры и боты вроде CodeRabbit пропускают графические файлы, считая их безопасными бинарными объектами. Позже ИИ-агент, считывая правила проекта со ссылкой на эту картинку, распознает скрытый промпт как прямое руководство к действию.
Какие данные могут украсть хакеры с помощью уязвимости Ghostcommit?
Атака нацелена на извлечение конфиденциальных ключей доступа и переменных окружения, хранящихся в файле.env репозитория. Нейросеть считывает эти секреты, конвертирует их в массив целых чисел и незаметно внедряет в генерируемый код. Хакеру остается лишь скопировать эти числа из публичного коммита и декодировать их обратно в текстовый формат.
Какие среды разработки и ИИ-модели подвержены уязвимости Ghostcommit?
Уязвимость подтверждена при использовании редактора Cursor и инструмента Antigravity с моделями Claude Sonnet, Gemini и GPT-5.5. В то же время инструмент Claude Code успешно распознал угрозу и заблокировал выполнение команды. Исследователи отмечают, что безопасность системы зависит не от самой языковой модели, а от архитектуры внешней программной оболочки.