Μια νέα τεχνική επίθεσης στην εφοδιαστική αλυσίδα λογισμικού, με την ονομασία «Ghostcommit», εκμεταλλεύεται τις δυνατότητες της τεχνητής νοημοσύνης κρύβοντας κακόβουλες εντολές μέσα σε εικόνες PNG. Με αυτόν τον τρόπο παρακάμπτει τα συστήματα ελέγχου κώδικα που βασίζονται σε μεγάλα γλωσσικά μοντέλα και μπορεί να οδηγήσει στην αποκάλυψη ευαίσθητων δεδομένων, όπως τα αρχεία .env που περιέχουν κωδικούς και διαπιστευτήρια.
Ghostcommit: Πώς λειτουργεί η επίθεση
Η ερευνητική ομάδα ASSET απέδειξε ότι οι γνωστοί AI ελεγκτές κώδικα, όπως οι Cursor Bugbot και CodeRabbit, εντοπίζουν εύκολα κακόβουλες οδηγίες όταν αυτές εμφανίζονται σε απλό κείμενο. Για να παρακάμψουν αυτή την προστασία, οι ερευνητές διαχώρισαν το φορτίο της επίθεσης.
Ένα φαινομενικά αθώο αρχείο AGENTS.md ζητά από τον AI βοηθό να αντλήσει πληροφορίες από μια εικόνα. Οι πραγματικές κακόβουλες οδηγίες, όμως, βρίσκονται ενσωματωμένες ως κείμενο μέσα στο αρχείο PNG, το οποίο οι περισσότεροι αυτοματοποιημένοι έλεγχοι αντιμετωπίζουν ως απλό δυαδικό αρχείο και δεν αναλύουν.
Η διαρροή γίνεται αργότερα
Η επίθεση δεν ενεργοποιείται τη στιγμή που εγκρίνεται η αλλαγή στον κώδικα. Ενεργοποιείται αργότερα, όταν ένας προγραμματιστής χρησιμοποιήσει τον AI βοηθό για κάποια φυσιολογική εργασία.
Τότε το μοντέλο διαβάζει τις κρυφές οδηγίες, αποκτά πρόσβαση στο αρχείο .env και μετατρέπει το περιεχόμενό του σε μια μεγάλη ακολουθία ακεραίων αριθμών. Οι αριθμοί αυτοί αντιστοιχούν στους χαρακτήρες ASCII του αρχείου και μπορούν εύκολα να αποκωδικοποιηθούν από τον επιτιθέμενο.
Διαφορετική συμπεριφορά ανά εργαλείο
Οι δοκιμές σε έντεκα διαφορετικούς συνδυασμούς μοντέλων και εργαλείων έδειξαν ότι η επιτυχία της επίθεσης εξαρτάται περισσότερο από τον τρόπο ενσωμάτωσης του μοντέλου παρά από το ίδιο το γλωσσικό μοντέλο. Ορισμένα εργαλεία αποκάλυψαν πλήρως τα δεδομένα, ενώ άλλα αρνήθηκαν να εκτελέσουν τις ύποπτες οδηγίες.
Για την αντιμετώπιση της απειλής, οι ερευνητές ανέπτυξαν ένα πρωτότυπο σύστημα ελέγχου pull requests, το οποίο αναλύει τόσο το κείμενο όσο και τις ενσωματωμένες εικόνες. Στις δοκιμές του κατάφερε να εντοπίσει σχεδόν όλες τις γνωστές παραλλαγές της επίθεσης χωρίς να δημιουργήσει ψευδείς συναγερμούς, προσφέροντας μια νέα προσέγγιση στην προστασία των εργαλείων τεχνητής νοημοσύνης που χρησιμοποιούνται στην ανάπτυξη λογισμικού.