L'attacco "Ghostcommit" nasconde istruzioni dannose generate dall'IA nelle immagini

| 13 luglio 2026
Ghostcommit

Ghostcommit è un proof of concept che dimostra come gli assistenti basati sull'intelligenza artificiale utilizzati per la revisione del codice software possano essere ingannati da istruzioni nascoste incorporate nelle immagini.

Il gruppo di ricerca accademico ASSET ha mostrato che un malintenzionato possa inserire istruzioni all'interno di un file immagine, fare riferimento a esso in un AGENTS.md file, e fare in modo che un agente di programmazione basato sull'intelligenza artificiale segua tali istruzioni durante un'attività successiva.

Una pull request è fondamentalmente una richiesta formale del tipo “ti prego di esaminare e integrare le mie modifiche” che uno sviluppatore invia prima che le modifiche vengano integrate nella versione principale di un progetto software. I revisori umani e, sempre più spesso, gli strumenti di programmazione basati sull’intelligenza artificiale possono esaminare le modifiche prima che vengano accettate.

Mentre la revisione del codice assistita dall’intelligenza artificiale sta diventando parte integrante dello sviluppo quotidiano, Ghostcommit mette in luce una vulnerabilità che molti team non hanno preso in considerazione. Un revisore umano potrebbe leggere il codice e trascurare un’immagine allegata. Nel proof of concept dei ricercatori, le istruzioni dannose erano nascoste all’interno di un file PNG a cui facevano riferimento i file di policy del repository, mentre la pull request visibile appariva del tutto normale.

Come hanno dimostrato i ricercatori, ciò può trasformare i flussi di lavoro di routine degli sviluppatori in un canale per il furto di informazioni riservate. Un agente di programmazione basato sull’intelligenza artificiale legge quelle istruzioni nascoste, anche se è improbabile che un revisore umano esamini l’immagine.

L'attacco è semplice nella teoria ma pericoloso nella pratica. Una pull request introduce un'immagine dall'aspetto innocuo e un file di configurazione che indica all'agente di fidarsi di essa. Quando l'agente, in seguito, esegue un'attività normale, segue le istruzioni nascoste, legge i file sensibili e reinserisce i segreti nel codice in forma offuscata. Ciò crea una via per il furto di segreti che può sfuggire sia ai revisori umani che agli scanner automatici.

I ricercatori hanno scoperto che l’harness — l’involucro che circonda il modello di IA — ha un impatto maggiore sulla possibilità che i segreti vengano divulgati rispetto al modello stesso. In pratica, l’harness (Cursor, Antigravity, Claude Code) decide quali file caricare, a quali convenzioni affidarsi, quali misure di sicurezza applicare e se seguire le istruzioni nascoste in un’immagine. Di conseguenza, lo stesso modello può comportarsi in modo molto diverso a seconda dello strumento di programmazione che lo utilizza. Il modello esegue quindi qualsiasi compito gli venga assegnato dallo strumento.

Ad esempio, lo stesso modello (Claude Sonnet) si è comportato in modo molto diverso a seconda degli strumenti utilizzati. Con Cursor e Antigravity, Sonnet ha letto il file PNG, ha seguito la convenzione e ha registrato diligentemente le informazioni riservate nel codice sorgente. Ma con l’harness Claude Code di Anthropic, lo stesso modello Sonnet, pur avendo letto la stessa convenzione, si è rifiutato, affermando esplicitamente che l’esfiltrazione di informazioni riservate era inappropriata. Claude Code ha rifiutato con tutti i modelli testati dai ricercatori.

Come stare al sicuro

La lezione da trarre è che l’iniezione di prompt non è più solo un problema legato al testo. Anche gli input multimodali, come le immagini, possono contenere istruzioni a cui gli agenti di IA potrebbero obbedire, se la catena di strumenti lo consente. Teams partire dal presupposto che qualsiasi cosa un agente di codifica sia in grado di leggere — comprese immagini, documenti e altri input multimodali — potrebbe contenere contenuti controllati da un malintenzionato.

Le organizzazioni che utilizzano strumenti di programmazione basati sull'intelligenza artificiale dovrebbero considerare questa questione sia come un problema legato alla catena di fornitura del software sia come un problema di sicurezza degli agenti di intelligenza artificiale. Le misure di difesa più importanti consistono nel limitare l'accesso alle informazioni riservate, ispezionare gli allegati non testuali e monitorare gli agenti di intelligenza artificiale per individuare eventuali tentativi insoliti di leggere credenziali o file di configurazione.

La ricerca sottolinea inoltre che sono lo strumento di codifica e le relative autorizzazioni a rendere possibile, in ultima analisi, questo attacco, piuttosto che il modello di IA preso isolatamente.


Non ci limitiamo a segnalare le minacce, ma le eliminiamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.

Informazioni sull'autore

Pieter Arntz

Ricercatore nel campo della sicurezza informatica

È stato un MVP Microsoft per la sicurezza dei consumatori per 12 anni consecutivi. Sa parlare quattro lingue. Profuma di mogano e di libri rilegati in pelle.