Ghostcommit est une démonstration de principe qui montre comment les assistants d'IA utilisés pour vérifier le code logiciel peuvent être trompés par des instructions cachées intégrées dans des images.
Le groupe de recherche universitaire ASSET a montré qu'un pirate puisse insérer des instructions dans un fichier image, puis y faire référence dans un AGENTS.md fichier, puis demander à un agent de programmation IA de suivre ces instructions lors d'une tâche ultérieure.
Une « pull request » est, en substance, une demande formelle du type « veuillez examiner et intégrer mes modifications » qu’un développeur envoie avant que les modifications ne soient intégrées à la branche principale d’un projet logiciel. Des réviseurs humains et, de plus en plus souvent, des outils de codage basés sur l’IA peuvent examiner ces modifications avant qu’elles ne soient acceptées.
Alors que la révision de code assistée par l'IA s'intègre de plus en plus dans le quotidien des développeurs, Ghostcommit met en évidence une faille que de nombreuses équipes n'ont pas prise en compte. Un réviseur humain peut lire le code sans prêter attention à une image jointe. Dans la démonstration de faisabilité réalisée par les chercheurs, les instructions malveillantes étaient dissimulées dans un fichier PNG référencé par les fichiers de politique du dépôt, tandis que la pull request visible semblait tout à fait normale.
Comme l'ont démontré les chercheurs, cela peut transformer les processus de travail courants des développeurs en un moyen de voler des informations confidentielles. Un agent de codage basé sur l'IA lit ces instructions cachées, alors qu'un réviseur humain a peu de chances d'examiner l'image.
Cette attaque est simple dans son principe, mais dangereuse dans la pratique. Une pull request introduit une image d’apparence inoffensive et un fichier de configuration qui ordonne à l’agent de lui faire confiance. Lorsque l’agent exécute ensuite une tâche normale, il suit les instructions cachées, lit les fichiers sensibles et réintègre les secrets dans le code sous une forme obscurcie. Cela crée une faille permettant le vol de secrets qui peut échapper à la fois aux réviseurs humains et aux scanners automatisés.
Les chercheurs ont découvert que le « harnais » — l’enveloppe qui entoure le modèle d’IA — avait une influence plus importante sur la divulgation éventuelle de secrets que le modèle sous-jacent lui-même. Concrètement, c’est le harnais (Cursor, Antigravity, Claude Code) qui décide quels fichiers charger, quelles conventions respecter, quelles mesures de sécurité appliquer et s’il faut suivre les instructions dissimulées dans une image. Par conséquent, un même modèle peut se comporter de manière très différente selon l’outil de programmation qui l’utilise. Le modèle exécute ensuite la tâche que l’outil lui soumet.
Par exemple, un même modèle (Claude Sonnet) s’est comporté de manière très différente selon les outils utilisés. Avec Cursor et Antigravity, Sonnet a lu le fichier PNG, a suivi la convention et a consciencieusement enregistré les secrets dans le code source. Mais avec le harnais Claude Code d’Anthropic, ce même modèle Sonnet a lu la même convention et a refusé, affirmant explicitement que l’exfiltration de secrets était inappropriée. Claude Code a refusé avec tous les modèles testés par les chercheurs.
Comment rester en sécurité
La leçon à retenir est que l’injection de données n’est plus seulement un problème lié au texte. Les données multimodales, telles que les images, peuvent également contenir des instructions auxquelles les agents d’IA sont susceptibles d’obéir si la chaîne d’outils le permet. Teams partir du principe que tout ce qu’un agent de codage est capable de lire — y compris les images, les documents et autres données multimodales — pourrait contenir du contenu contrôlé par un attaquant.
Les organisations qui utilisent des outils de codage basés sur l'IA doivent considérer cela à la fois comme un problème lié à la chaîne d'approvisionnement logicielle et comme un problème de sécurité des agents IA. Les mesures de protection les plus importantes consistent à restreindre l'accès aux informations confidentielles, à analyser les pièces jointes non textuelles et à surveiller les agents IA afin de détecter toute tentative inhabituelle de lecture des identifiants ou des fichiers de configuration.
Cette étude souligne également que c'est l'outil de codage et ses autorisations qui, en fin de compte, rendent cette attaque possible, et non le modèle d'IA pris isolément.
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.




