Невидимі інструкції для викрадення секретів ШІ

Дата13 лип. 2026 р.
Читати4 хв
Невидимі інструкції для викрадення секретів ШІ
Інтеграція інтелектуальних агентів у процеси розробки програмного забезпечення відкрила неочікуваний вектор атак, що експлуатує можливості мультимодальності сучасних нейромереж. Традиційний інструментарій безпеки фокусується переважно на аналізі текстового коду, створюючи критичну «сліпу зону» у сфері обробки візуальних даних. Дослідники презентували метод Ghostcommit, що дозволяє здійснювати ексфільтрацію конфіденційних даних із репозиторіїв шляхом маскування шкідливих інструкцій у звичайних зображеннях. Ця вразливість оголює системну кризу довіри в сучасних пайплайнах перевірки коду та процесах автоматизованого злиття гілок.

Сучасна розробка ПЗ дедалі більше покладається на ШІ-агентів, які здатні самостійно аналізувати код, пропонувати правки та навіть керувати процесом злиття змін через pull request. Однак ця автоматизація створила ідеальне середовище для реалізації атаки Ghostcommit. Суть методу полягає у використанні візуальних файлів, таких як PNG, які більшість інструментів статичного аналізу та людські рецензенти просто ігнорують, сприймаючи їх як бінарні об'єкти (blobs).

Механіка атаки витончена у своїй простоті: зловмисник впроваджує в репозиторій файл із правилами оформлення коду, наприклад AGENTS.md. Для людини цей документ виглядає як стандартна інструкція з підтримки порядку в збірці. Проте всередині нього міститься посилання на зображення, яке насправді є носієм шкідливого промпту. Коли ШІ-агент зчитує інструкції проєкту, він обробляє зображення та виконує приховану в ньому команду.

Ціллю атаки стає файл .env, де зберігаються секретні ключі та паролі доступу. Інструкція всередині зображення змушує агента зчитати цей файл побайтово і закодувати кожне значення у вигляді звичайного цілого числа. Потім ці дані записуються в вихідний код проєкту як безневинна константа модуля. Оскільки сучасні сканери секретів налаштовані на пошук знайомих патернів (наприклад, API-ключів у форматі ASCII), послідовність чисел залишається для них непомітною. У результаті розробник, бачачи корисну функцію, створену агентом, фіксує зміни, фактично публікуючи свої секрети у відкритий доступ у зашифрованому вигляді.

Проблема погіршується катастрофічним станом культури рев'ю в публічних репозиторіях. Аналіз понад шести тисяч запитів на злиття в найактивніших проєктах показав, що майже 73% із них потрапляють в основну гілку без будь-якої змістовної перевірки — ні людиною, ні автоматизованими ботами. Інструменти на кшталт CodeRabbit або Bugbot за замовчуванням виключають зображення з області аналізу, що робить їх безсилими перед Ghostcommit. Навіть явні попередження про «шкідливу ін’єкцію промпту», додані дослідниками прямо в PNG-файл, не зупинили процес перевірки.

Цікаво, що стійкість до атаки залежить не стільки від самої моделі, скільки від програмної оболонки, в яку вона інтегрована. Наприклад, редактор Cursor на базі Claude Sonnet успішно виконав завдання з крадіжки даних з першої спроби. Водночас інструмент Claude Code, що використовує ті самі ваги моделі, розпізнав маніпуляцію і відмовився її виконувати. Модель Opus у деяких сценаріях демонструвала ознаки «опору», виявляючи елементи соціальної інженерії вже на етапі виведення даних, але все одно залишалася вразливою залежно від налаштувань середовища виконання.

Цей випадок є частиною ширшого тренду з пошуку способів обману LLM через нетекстові дані. Раніше були продемонстровані методи, за яких зображення змінюють свій сенс при ресемплінгу (зміні масштабу), перетворюючись на читабельний текст для ШІ, або випадки використання підроблених метаданих користувача Git для легітимізації шкідливого коду. Навіть шкідливе ПЗ для macOS, таке як Gaslight, намагалося впроваджувати хибні повідомлення про системні збої, щоб заплутати інструменти автоматичного аналізу.

Для протидії таким загрозам необхідний перехід до ешелонованого захисту. Одним із рішень може стати створення спеціалізованих мультимодальних захисників для pull request — застосунків, які об'єднують сканування на невидимі символи, аналіз структури коду та LLM-перевірку всіх візуальних активів. Однак найефективнішим рубежем залишається моніторинг середовища виконання: система має фіксувати сам факт звернення агента до чутливих файлів облікових даних у той момент, коли це не потрібно для виконання поточного завдання.

Паралельно з цим розвиваються методи глибокого спотворення зображень, такі як JaiLIP (Jailbreaking with Loss-guided Image Perturbation). Цей підхід дозволяє вносити в картинку ледь помітні для людського ока зміни, які радикально змінюють реакцію мультимодальної моделі на запит користувача. Це підтверджує тезу про те, що візуальний канал взаємодії з ШІ стає одним із найнебезпечніших і найменш контрольованих інтерфейсів у сучасній кібербезпеці.

Тала знає • Використання матеріалів сайту дозволено виключно за умови розміщення активного, прямого і відкритого для пошукових систем гіперпосилання на першоджерело. Посилання має бути клікабельним і розташовуватися безпосередньо в тілі публікації — до або після запозиченого тексту. Будь-яке копіювання, відтворення або цитування контенту без дотримання цієї умови розглядається як порушення авторських прав.