Эволюция слоя совместимости KytyPS5Невидимые инструкции для кражи секретов ИИ

Современная разработка ПО все больше полагается на ИИ-агентов, которые способны самостоятельно анализировать код, предлагать правки и даже управлять процессом слияния изменений через pull request. Однако эта автоматизация создала идеальную среду для реализации атаки Ghostcommit. Суть метода заключается в использовании визуальных файлов, таких как PNG, которые большинство инструментов статического анализа и человеческие рецензенты попросту игнорируют, воспринимая их как бинарные объекты (blobs).
Механика атаки изящна в своей простоте: злоумышленник внедряет в репозиторий файл с правилами оформления кода, например AGENTS.md. Для человека этот документ выглядит как стандартная инструкция по поддержанию порядка в сборке. Однако внутри него содержится ссылка на изображение, которое на самом деле является носителем вредоносного промпта. Когда ИИ-агент считывает инструкции проекта, он обрабатывает изображение и исполняет скрытую в нем команду.

Целью атаки становится файл .env, где хранятся секретные ключи и пароли доступа. Инструкция внутри изображения заставляет агента считать этот файл побайтово и закодировать каждое значение в виде обычного целого числа. Затем эти данные записываются в исходный код проекта как безобидная константа модуля. Поскольку современные сканеры секретов настроены на поиск знакомых паттернов (например, API-ключей в формате ASCII), последовательность чисел остается для них незаметной. В итоге разработчик, видя полезную функцию, созданную агентом, фиксирует изменения, фактически публикуя свои секреты в открытый доступ в зашифрованном виде.
Проблема усугубляется катастрофическим состоянием культуры ревью в публичных репозиториях. Анализ более шести тысяч запросов на слияние в самых активных проектах показал, что почти 73% из них попадают в основную ветку без какой-либо содержательной проверки — ни человеком, ни автоматизированными ботами. Инструменты вроде CodeRabbit или Bugbot по умолчанию исключают изображения из области анализа, что делает их бессильными перед Ghostcommit. Даже явные предупреждения о «вредоносной инъекции промпта», добавленные исследователями прямо в PNG-файл, не остановили процесс проверки.
Интересен тот факт, что устойчивость к атаке зависит не столько от самой модели, сколько от программной оболочки, в которую она интегрирована. Например, редактор Cursor на базе Claude Sonnet успешно выполнил задачу по краже данных с первой попытки. В то же время инструмент Claude Code, использующий те же веса модели, распознал манипуляцию и отказался её выполнять. Модель Opus в некоторых сценариях демонстрировала признаки «сопротивления», обнаруживая элементы социальной инженерии уже на этапе вывода данных, но всё равно оставалась уязвимой в зависимости от настроек среды исполнения.
Этот случай является частью более широкого тренда по поиску способов обмана LLM через нетекстовые данные. Ранее были продемонстрированы методы, при которых изображения меняют свой смысл при ресемплинге (изменении масштаба), превращаясь в читаемый текст для ИИ, или случаи использования поддельных метаданных пользователя Git для легитимизации вредоносного кода. Даже вредоносное ПО для macOS, такое как Gaslight, пыталось внедрять ложные сообщения о системных сбоях, чтобы запутать инструменты автоматического анализа.
Для противодействия таким угрозам необходим переход к эшелонированной защите. Одним из решений может стать создание специализированных мультимодальных защитников для pull request — приложений, которые объединяют сканирование на невидимые символы, анализ структуры кода и LLM-проверку всех визуальных активов. Однако наиболее эффективным рубежом остается мониторинг среды выполнения: система должна фиксировать сам факт обращения агента к чувствительным файлам учетных данных в тот момент, когда это не требуется для выполнения текущей задачи.
Параллельно с этим развиваются методы глубокого искажения изображений, такие как JaiLIP (Jailbreaking with Loss-guided Image Perturbation). Этот подход позволяет вносить в картинку едва заметные для человеческого глаза изменения, которые радикально меняют реакцию мультимодальной модели на запрос пользователя. Это подтверждает тезис о том, что визуальный канал взаимодействия с ИИ становится одним из самых опасных и наименее контролируемых интерфейсов в современной кибербезопасности.

