O ataque «Ghostcommit» oculta instruções maliciosas de IA em imagens

| 13 de julho de 2026
Ghostcommit

O Ghostcommit é uma demonstração de conceito que mostra como os assistentes de IA utilizados para rever código de software podem ser enganados por instruções ocultas incorporadas em imagens.

O Grupo de Investigação ASSET mostrou que um atacante pode inserir instruções num ficheiro de imagem e referenciá-lo num AGENTS.md ficheiro e fazer com que um agente de programação baseado em IA siga essas instruções durante uma tarefa posterior.

Um pedido de integração é, basicamente, um pedido formal do tipo «por favor, reveja e adicione as minhas alterações» que um programador envia antes de as alterações serem incorporadas na versão principal de um projeto de software. Os revisores humanos e, cada vez mais, as ferramentas de programação baseadas em IA podem rever as alterações antes de estas serem aceites.

Embora a revisão de código assistida por IA esteja a tornar-se parte integrante do desenvolvimento quotidiano, o Ghostcommit revela uma vulnerabilidade que muitas equipas ainda não tiveram em conta. Um revisor humano pode ler o código e ignorar uma imagem anexada. Na prova de conceito dos investigadores, as instruções maliciosas estavam ocultas num ficheiro PNG referenciado pelos ficheiros de políticas do repositório, enquanto o pedido de integração visível parecia normal.

Como os investigadores demonstraram, isto pode transformar os fluxos de trabalho rotineiros dos programadores num canal para o roubo de informações confidenciais. Um agente de programação baseado em IA lê essas instruções ocultas, apesar de ser improvável que um revisor humano inspecione a imagem.

O ataque é simples em teoria, mas perigoso na prática. Um pedido de integração introduz uma imagem aparentemente inofensiva e um ficheiro de configuração que instrui o agente a confiar nela. Quando, mais tarde, o agente executa uma tarefa normal, segue as instruções ocultas, lê ficheiros confidenciais e reinsere os segredos no código de forma ofuscada. Isso cria uma via para o roubo de segredos que pode passar despercebida tanto pelos revisores humanos como pelos scanners automatizados.

Os investigadores descobriram que o «harness» — a estrutura que envolve o modelo de IA — teve um impacto maior na ocorrência de fugas de informação do que o próprio modelo subjacente. Na prática, o «harness» (Cursor, Antigravity, Claude Code) decide quais os ficheiros a carregar, em que convenções confiar, que medidas de segurança aplicar e se deve seguir instruções ocultas numa imagem. Como resultado, o mesmo modelo pode comportar-se de forma muito diferente, dependendo da ferramenta de programação que o utiliza. O modelo executa então qualquer tarefa que a ferramenta lhe apresente.

Por exemplo, o mesmo modelo (Claude Sonnet) comportou-se de forma muito diferente em ferramentas distintas. No Cursor e no Antigravity, o Sonnet leu o ficheiro PNG, seguiu a convenção e registou diligentemente os segredos no código-fonte. Mas, no ambiente Claude Code da Anthropic, o mesmo modelo Sonnet leu a mesma convenção e recusou-se a fazê-lo, afirmando explicitamente que a exfiltração de segredos era inadequada. O Claude Code recusou-se a fazê-lo em todos os modelos que os investigadores testaram.

Como se manter seguro

A lição a retirar é que a injeção de comandos já não é apenas um problema relacionado com texto. Entradas multimodais, como imagens, também podem conter instruções que os agentes de IA podem obedecer, caso a cadeia de ferramentas o permita. Teams partir do princípio de que tudo o que um agente de programação possa ler — incluindo imagens, documentos e outras entradas multimodais — pode conter conteúdo controlado por atacantes.

As organizações que utilizam ferramentas de programação de IA devem encarar esta questão tanto como um problema relacionado com a cadeia de abastecimento de software como com a segurança dos agentes de IA. As medidas de defesa mais importantes consistem em restringir o acesso a informações confidenciais, inspecionar anexos que não sejam de texto e monitorizar os agentes de IA para detetar tentativas invulgares de leitura de credenciais ou ficheiros de configuração.

A investigação salienta também que é, em última análise, a ferramenta de codificação e as suas permissões que tornam este ataque possível, e não o modelo de IA por si só.


Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Pieter Arntz

Investigador de Inteligência de Malware

Foi um Microsoft MVP em segurança do consumidor durante 12 anos consecutivos. Sabe falar quatro línguas. Cheira a mogno rico e a livros encadernados em pele.