Атака «Ghostcommit» позволяет скрывать вредоносные команды ИИ в изображениях

| 13 июля 2026 года
Ghostcommit

Ghostcommit — это концептуальная демонстрация, показывающая, как ИИ-помощников, используемых для проверки программного кода, можно обмануть с помощью скрытых инструкций, встроенных в изображения.

Научно-исследовательская группа ASSET показал что злоумышленник может поместить инструкции в файл изображения и сослаться на него в AGENTS.md файл и настроить ИИ-агента по программированию так, чтобы он следовал этим инструкциям при выполнении последующего задания.

Pull-запрос — это, по сути, официальная просьба «проверить и добавить мои изменения», которую разработчик отправляет до того, как изменения будут внесены в основную версию программного проекта. Перед принятием изменений их могут проверять как рецензенты-люди, так и — всё чаще — инструменты искусственного интеллекта для написания кода.

Хотя рецензирование кода с помощью ИИ становится неотъемлемой частью повседневной разработки, Ghostcommit выявляет уязвимость, о которой многие команды не задумывались. Человек, проводящий рецензирование, может прочитать код и пропустить вложенное изображение. В концептуальной демонстрации исследователей вредоносные инструкции были скрыты внутри файла PNG, на который ссылались файлы политик репозитория, в то время как сам пул-реквест выглядел вполне обычно.

Как показали исследователи, это может превратить обычные рабочие процессы разработчиков в канал для кражи конфиденциальной информации. Агент искусственного интеллекта, занимающийся написанием кода, считывает эти скрытые инструкции, хотя человек, проверяющий код, вряд ли станет изучать изображение.

Эта атака проста по своей сути, но опасна на практике. В пул-реквесте вводятся внешне безобидное изображение и файл конфигурации, который указывает агенту доверять этому изображению. Когда агент позже приступает к выполнению обычной задачи, он следует скрытым инструкциям, считывает конфиденциальные файлы и записывает секретные данные обратно в код в зашифрованном виде. Таким образом создается канал для кражи секретных данных, который может остаться незамеченным как для рецензентов-людей, так и для автоматических сканеров.

Исследователи обнаружили, что «оболочка» — то есть инструментарий, окружающий модель ИИ — оказывает большее влияние на вероятность утечки секретной информации, чем сама базовая модель. На практике именно «оболочка» (Cursor, Antigravity, Claude Code) решает, какие файлы загружать, каким соглашениям доверять, какие ограничения применять и следует ли выполнять инструкции, скрытые в изображении. В результате одна и та же модель может вести себя совершенно по-разному в зависимости от использующего её инструмента для программирования. Затем модель выполняет любую задачу, которую ей задает инструмент.

Например, одна и та же модель (Claude Sonnet) вела себя совершенно по-разному в разных инструментах. В программах Cursor и Antigravity модель Sonnet считывала файл PNG, следовала соглашению и добросовестно записывала секретные данные в исходный код. Однако в среде Claude Code от Anthropic та же модель Sonnet, прочитав то же соглашение, отказалась выполнять задачу, прямо заявив, что вывод секретных данных является недопустимым. Claude Code отказывался выполнять задачу для всех моделей, которые тестировали исследователи.

Как оставаться в безопасности

Из этого следует вывод, что внедрение вредоносного кода больше не сводится исключительно к текстовым проблемам. Мультимодальные входные данные, такие как изображения, также могут содержать инструкции, которым агенты ИИ могут подчиняться, если это допускает набор инструментов. Teams исходить из того, что всё, что может прочитать агент-программист — включая изображения, документы и другие мультимодальные входные данные — может содержать контент, контролируемый злоумышленником.

Организации, использующие инструменты программирования на основе ИИ, должны рассматривать это как проблему, связанную как с цепочкой поставок программного обеспечения, так и с безопасностью ИИ-агентов. Наиболее важными мерами защиты являются ограничение доступа к конфиденциальным данным, проверка нетекстовых вложений и мониторинг ИИ-агентов на предмет необычных попыток считывания учетных данных или файлов конфигурации.

В исследовании также подчеркивается, что именно инструмент кодирования и его права доступа, а не сама по себе модель ИИ, в конечном счёте делают эту атаку возможной.


Мы не просто сообщаем об угрозах - мы их устраняем

Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.

Об авторе

Питер Арнтц

Исследователь в области вредоносного ПО

12 лет подряд был MVP Microsoft в области потребительской безопасности. Владеет четырьмя языками. Пахнет богатым красным деревом и книгами в кожаных переплетах.