O ataque “Ghostcommit” oculta instruções maliciosas de IA em imagens

| 13 de julho de 2026
Ghostcommit

O Ghostcommit é uma demonstração de conceito que mostra como assistentes de IA usados para revisar código de software podem ser enganados por instruções ocultas incorporadas em imagens.

O Grupo de Pesquisa Acadêmico ASSET mostrou que um invasor pode inserir instruções dentro de um arquivo de imagem e referenciá-lo em um AGENTS.md arquivo e fazer com que um agente de programação baseado em IA siga essas instruções durante uma tarefa posterior.

Uma solicitação de pull é, basicamente, um pedido formal do tipo “por favor, revise e incorpore minhas alterações” que um desenvolvedor envia antes que as alterações sejam incorporadas à versão principal de um projeto de software. Revisores humanos e, cada vez mais, ferramentas de codificação baseadas em IA podem revisar as alterações antes que elas sejam aceitas.

Embora a revisão de código assistida por IA esteja se tornando parte do dia a dia do desenvolvimento, o Ghostcommit revela uma vulnerabilidade que muitas equipes ainda não levaram em consideração. Um revisor humano pode ler o código e ignorar uma imagem anexada. Na prova de conceito dos pesquisadores, as instruções maliciosas estavam ocultas dentro de um arquivo PNG referenciado pelos arquivos de política do repositório, enquanto a solicitação de pull visível parecia normal.

Conforme demonstraram os pesquisadores, isso pode transformar os fluxos de trabalho rotineiros dos desenvolvedores em um canal para o roubo de segredos. Um agente de programação baseado em IA lê essas instruções ocultas, mesmo que seja improvável que um revisor humano examine a imagem.

O ataque é simples em teoria, mas perigoso na prática. Uma solicitação de pull introduz uma imagem que parece inofensiva e um arquivo de configuração que instrui o agente a confiar nela. Quando, posteriormente, o agente executa uma tarefa normal, ele segue as instruções ocultas, lê arquivos confidenciais e reinsere os segredos no código de forma ofuscada. Isso cria uma brecha para o roubo de segredos que pode passar despercebida tanto pelos revisores humanos quanto pelos scanners automatizados.

Os pesquisadores descobriram que o “harness” — a camada que envolve o modelo de IA — teve um impacto maior sobre o vazamento de segredos do que o próprio modelo subjacente. Na prática, o “harness” (Cursor, Antigravity, Claude Code) decide quais arquivos carregar, em quais convenções confiar, quais limites de segurança aplicar e se deve seguir instruções ocultas em uma imagem. Como resultado, o mesmo modelo pode se comportar de maneira muito diferente, dependendo da ferramenta de codificação que o utiliza. O modelo, então, executa qualquer tarefa que a ferramenta lhe apresente.

Por exemplo, o mesmo modelo (Claude Sonnet) se comportou de maneira muito diferente em ferramentas distintas. No Cursor e no Antigravity, o Sonnet leu o arquivo PNG, seguiu a convenção e registrou obedientemente os segredos no código-fonte. Mas, no ambiente Claude Code da Anthropic, o mesmo modelo Sonnet leu a mesma convenção e se recusou, afirmando explicitamente que a exfiltração de segredos era inadequada. O Claude Code se recusou em todos os modelos que os pesquisadores testaram.

Como se manter seguro

A lição é que a injeção de comandos não é mais apenas um problema relacionado a textos. Entradas multimodais, como imagens, também podem conter instruções que os agentes de IA podem obedecer, caso a cadeia de ferramentas permita. Teams partir do princípio de que qualquer coisa que um agente de programação possa ler — incluindo imagens, documentos e outras entradas multimodais — pode conter conteúdo controlado por invasores.

As organizações que utilizam ferramentas de programação de IA devem tratar isso tanto como uma questão de segurança da cadeia de suprimentos de software quanto como uma questão de segurança dos agentes de IA. As medidas de defesa mais importantes consistem em restringir o acesso a informações confidenciais, inspecionar anexos que não sejam de texto e monitorar os agentes de IA em busca de tentativas incomuns de ler credenciais ou arquivos de configuração.

A pesquisa também destaca que a ferramenta de codificação e suas permissões são, em última análise, o que torna esse ataque possível, e não o modelo de IA isoladamente.


Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Pesquisador de inteligência de malware

Foi Microsoft MVP em segurança do consumidor por 12 anos consecutivos. Fala quatro idiomas. Cheira a mogno e a livros encadernados em couro.