V-Help
← 全部新闻
安全

新型Ghostcommit攻击通过PNG图像欺骗AI代码审查工具

新型Ghostcommit攻击通过PNG图像欺骗AI代码审查工具

图片: BleepingComputer

简要回答

Ghostcommit利用PNG图像中的隐藏提示注入,欺骗代码审查AI代理,从而窃取代码库中的敏感数据。

网络安全研究人员展示了一种针对AI自动代码分析系统的新型攻击方法。该方法名为Ghostcommit,通过在PNG图像文件中嵌入恶意指令,随后上传至代码库。

此攻击利用了CodeRabbit和Bugbot等热门AI工具不检查图像文件内容的特性。攻击者可绕过标准安全机制,注入指令迫使AI代理提取代码库中的敏感数据。在测试中,该攻击成功诱导系统读取.env文件并将其内容转换为数字格式,随后插入代码中。

专家警告称,此类漏洞对依赖自动化代码审查工具的企业构成严重威胁。开源项目尤为脆弱,因其安全控制可能较为宽松。为防范此类攻击,建议组织实施对所有上传文件(包括图像)的额外检查。

常见问题

什么是Ghostcommit?
Ghostcommit是一种攻击方法,通过在图像文件中嵌入恶意指令来欺骗AI代码审查系统,可能导致机密数据从代码库泄露。
哪些AI工具易受Ghostcommit攻击?
研究显示,CodeRabbit和Bugbot等工具因未检查图像文件内容,无法发现此类攻击,导致漏洞被利用。
Ghostcommit能窃取哪些数据?
该攻击可从代码库中提取敏感数据,包括存储密码、访问令牌等关键参数的.env文件内容。
分享:

Dzen 订阅: /feed/dzen.xml · RSS: /feed.xml

为何可信

本文由 V-Help 编辑部根据一手来源整理,并标注发布日期。

发布: V-Help.ru 新闻编辑部

来源: BleepingComputer