Невидимые инструкции для кражи секретов ИИ

Дата13 июл. 2026 г.
Читать4 мин
Невидимые инструкции для кражи секретов ИИ
Интеграция интеллектуальных агентов в процессы разработки программного обеспечения открыла неожиданный вектор атак, использующий мультимодальность современных нейросетей. Традиционные инструменты безопасности сосредоточены на анализе текстового кода, оставляя критическую слепую зону в обработке визуальных данных. Исследователи представили метод Ghostcommit, который позволяет эксфильтровать конфиденциальные данные из репозиториев, скрывая вредоносные инструкции внутри обычных изображений. Эта уязвимость обнажает системный кризис доверия в современных конвейерах проверки кода и автоматизированного слияния веток.

Современная разработка ПО все больше полагается на ИИ-агентов, которые способны самостоятельно анализировать код, предлагать правки и даже управлять процессом слияния изменений через pull request. Однако эта автоматизация создала идеальную среду для реализации атаки Ghostcommit. Суть метода заключается в использовании визуальных файлов, таких как PNG, которые большинство инструментов статического анализа и человеческие рецензенты попросту игнорируют, воспринимая их как бинарные объекты (blobs).

Механика атаки изящна в своей простоте: злоумышленник внедряет в репозиторий файл с правилами оформления кода, например AGENTS.md. Для человека этот документ выглядит как стандартная инструкция по поддержанию порядка в сборке. Однако внутри него содержится ссылка на изображение, которое на самом деле является носителем вредоносного промпта. Когда ИИ-агент считывает инструкции проекта, он обрабатывает изображение и исполняет скрытую в нем команду.

Целью атаки становится файл .env, где хранятся секретные ключи и пароли доступа. Инструкция внутри изображения заставляет агента считать этот файл побайтово и закодировать каждое значение в виде обычного целого числа. Затем эти данные записываются в исходный код проекта как безобидная константа модуля. Поскольку современные сканеры секретов настроены на поиск знакомых паттернов (например, API-ключей в формате ASCII), последовательность чисел остается для них незаметной. В итоге разработчик, видя полезную функцию, созданную агентом, фиксирует изменения, фактически публикуя свои секреты в открытый доступ в зашифрованном виде.

Проблема усугубляется катастрофическим состоянием культуры ревью в публичных репозиториях. Анализ более шести тысяч запросов на слияние в самых активных проектах показал, что почти 73% из них попадают в основную ветку без какой-либо содержательной проверки — ни человеком, ни автоматизированными ботами. Инструменты вроде CodeRabbit или Bugbot по умолчанию исключают изображения из области анализа, что делает их бессильными перед Ghostcommit. Даже явные предупреждения о «вредоносной инъекции промпта», добавленные исследователями прямо в PNG-файл, не остановили процесс проверки.

Интересен тот факт, что устойчивость к атаке зависит не столько от самой модели, сколько от программной оболочки, в которую она интегрирована. Например, редактор Cursor на базе Claude Sonnet успешно выполнил задачу по краже данных с первой попытки. В то же время инструмент Claude Code, использующий те же веса модели, распознал манипуляцию и отказался её выполнять. Модель Opus в некоторых сценариях демонстрировала признаки «сопротивления», обнаруживая элементы социальной инженерии уже на этапе вывода данных, но всё равно оставалась уязвимой в зависимости от настроек среды исполнения.

Этот случай является частью более широкого тренда по поиску способов обмана LLM через нетекстовые данные. Ранее были продемонстрированы методы, при которых изображения меняют свой смысл при ресемплинге (изменении масштаба), превращаясь в читаемый текст для ИИ, или случаи использования поддельных метаданных пользователя Git для легитимизации вредоносного кода. Даже вредоносное ПО для macOS, такое как Gaslight, пыталось внедрять ложные сообщения о системных сбоях, чтобы запутать инструменты автоматического анализа.

Для противодействия таким угрозам необходим переход к эшелонированной защите. Одним из решений может стать создание специализированных мультимодальных защитников для pull request — приложений, которые объединяют сканирование на невидимые символы, анализ структуры кода и LLM-проверку всех визуальных активов. Однако наиболее эффективным рубежом остается мониторинг среды выполнения: система должна фиксировать сам факт обращения агента к чувствительным файлам учетных данных в тот момент, когда это не требуется для выполнения текущей задачи.

Параллельно с этим развиваются методы глубокого искажения изображений, такие как JaiLIP (Jailbreaking with Loss-guided Image Perturbation). Этот подход позволяет вносить в картинку едва заметные для человеческого глаза изменения, которые радикально меняют реакцию мультимодальной модели на запрос пользователя. Это подтверждает тезис о том, что визуальный канал взаимодействия с ИИ становится одним из самых опасных и наименее контролируемых интерфейсов в современной кибербезопасности.

Тала знает • Использование материалов сайта разрешено исключительно при условии размещения активной, прямой и открытой для поисковых систем гиперссылки на первоисточник. Ссылка должна быть кликабельной и располагаться непосредственно в теле публикации — до или после заимствованного текста. Любое копирование, воспроизведение или цитирование контента без соблюдения этого условия рассматривается как нарушение авторских прав.