Ghostcommit ist ein Proof-of-Concept, das zeigt, wie KI-Assistenten, die zur Überprüfung von Software-Code eingesetzt werden, durch in Bildern eingebettete versteckte Anweisungen ausgetrickst werden können.
Die wissenschaftliche ASSET-Forschungsgruppe zeigte dass ein Angreifer Befehle in eine Bilddatei einbetten und in einer AGENTS.md Datei speichern und einen KI-Programmierassistenten dazu bringen, diese Anweisungen bei einer späteren Aufgabe zu befolgen.
Ein Pull-Request ist im Grunde eine formelle Aufforderung („Bitte prüfe meine Änderungen und füge sie hinzu“), die ein Entwickler sendet, bevor Änderungen in die Hauptversion eines Softwareprojekts übernommen werden. Menschliche Prüfer und – in zunehmendem Maße – KI-basierte Programmierwerkzeuge können die Änderungen prüfen, bevor sie akzeptiert werden.
Während KI-gestützte Code-Reviews zunehmend zum Entwicklungsalltag gehören, deckt Ghostcommit eine Schwachstelle auf, die viele Teams bisher nicht berücksichtigt haben. Ein menschlicher Prüfer könnte den Code lesen und dabei ein angehängtes Bild übersehen. Im Proof-of-Concept der Forscher waren die bösartigen Anweisungen in einer PNG-Datei versteckt, auf die in den Richtlinien-Dateien des Repositorys verwiesen wurde, während der sichtbare Pull-Request ganz normal aussah.
Wie die Forscher gezeigt haben, kann dies dazu führen, dass routinemäßige Arbeitsabläufe von Entwicklern zu einem Kanal für den Diebstahl vertraulicher Informationen werden. Ein KI-Codierungsagent liest diese versteckten Anweisungen, auch wenn es unwahrscheinlich ist, dass ein menschlicher Prüfer das Bild genauer unter die Lupe nimmt.
Der Angriff ist vom Konzept her einfach, in der Praxis jedoch gefährlich. Ein Pull-Request führt ein harmlos aussehendes Bild und eine Konfigurationsdatei ein, die den Agenten anweist, diesem zu vertrauen. Wenn der Agent später eine normale Aufgabe ausführt, folgt er den versteckten Anweisungen, liest sensible Dateien aus und schreibt die Geheimnisse in verschleierter Form zurück in den Code. Dadurch entsteht ein Weg für den Diebstahl von Geheimnissen, der sowohl menschlichen Prüfern als auch automatisierten Scannern entgehen kann.
Die Forscher stellten fest, dass der „Harness“ – die Hülle um das KI-Modell – einen größeren Einfluss darauf hatte, ob Geheimnisse preisgegeben wurden, als das zugrunde liegende Modell selbst. In der Praxis entscheidet der „Harness“ (Cursor, Antigravity, Claude Code), welche Dateien geladen werden, welchen Konventionen vertraut wird, welche Sicherheitsvorkehrungen angewendet werden und ob in einem Bild versteckte Anweisungen befolgt werden sollen. Infolgedessen kann sich dasselbe Modell je nach dem Programmierwerkzeug, das es verwendet, sehr unterschiedlich verhalten. Das Modell führt dann die Aufgabe aus, die ihm das Tool vorgibt.
So verhielt sich beispielsweise dasselbe Modell (Claude Sonnet) in verschiedenen Tools sehr unterschiedlich. Unter „Cursor“ und „Antigravity“ las Sonnet die PNG-Datei, befolgte die Konvention und speicherte die Geheimnisse pflichtbewusst im Quellcode. Unter dem „Claude Code“-Harness von Anthropic hingegen las dasselbe Sonnet-Modell dieselbe Konvention und weigerte sich, wobei es ausdrücklich erklärte, dass das Exfiltrieren von Geheimnissen unangemessen sei. Claude Code lehnte dies bei jedem Modell ab, das die Forscher testeten.
Wie man sicher bleibt
Die Erkenntnis daraus ist, dass Prompt-Injection nicht mehr nur ein Textproblem ist. Auch multimodale Eingaben wie Bilder können Anweisungen enthalten, denen KI-Agenten folgen könnten, sofern die Toolchain dies zulässt. Teams davon ausgehen, dass alles, was ein Programmieragent lesen kann – einschließlich Bilder, Dokumente und anderer multimodaler Eingaben –, von Angreifern kontrollierte Inhalte enthalten könnte.
Unternehmen, die KI-Programmierwerkzeuge einsetzen, sollten dies sowohl als Problem der Software-Lieferkette als auch als Sicherheitsrisiko für KI-Agenten betrachten. Die wichtigsten Schutzmaßnahmen bestehen darin, den Zugriff auf vertrauliche Daten einzuschränken, nicht-textuelle Anhänge zu überprüfen und KI-Agenten auf ungewöhnliche Versuche zu überwachen, Anmeldedaten oder Konfigurationsdateien auszulesen.
Die Untersuchung macht zudem deutlich, dass letztlich das Programmierwerkzeug und dessen Berechtigungen diesen Angriff erst möglich machen – und nicht das KI-Modell an sich.
Wir berichten nicht nur über Bedrohungen - wir beseitigen sie
Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.




