นักวิจัยพบ 'Ghostcommit' เทคนิคใหม่ซ่อนคำสั่งอันตรายในไฟล์ภาพ หลอก AI ขโมยข้อมูลลับ
ทีมนักวิจัยความปลอดภัยสาธิตเทคนิค 'Ghostcommit' ที่สามารถฝังคำสั่งอันตรายไว้ในไฟล์ภาพ PNG เพื่อหลบเลี่ยงการตรวจสอบและหลอกให้ AI ช่วยเขียนโค้ดดึงข้อมูลสำคัญออกจากโปรเจกต์ได้สำเร็จ
ASSET Research Group กลุ่มนักวิจัยด้านความปลอดภัย ได้เปิดเผยเทคนิคการโจมตีรูปแบบใหม่ในชื่อ 'Ghostcommit' ซึ่งสามารถซ่อนคำสั่งอันตรายประเภท Prompt Injection (การป้อนคำสั่งเพื่อชี้นำ AI โดยไม่ได้รับอนุญาต) ไว้ในไฟล์ภาพที่ดูไม่มีพิษภัยอย่างไฟล์ PNG เพื่อขโมยข้อมูลความลับ เช่น API Keys หรือรหัสผ่านฐานข้อมูล ออกจากคลังเก็บโค้ด (Repository) ของนักพัฒนา
วิธีการของ Ghostcommit อาศัยจุดบอดของเครื่องมือตรวจสอบโค้ดด้วย AI (AI code reviewer) ยอดนิยมอย่าง CodeRabbit และ Bugbot ซึ่งโดยปกติแล้วจะไม่ได้ถูกออกแบบมาให้เปิดหรือวิเคราะห์เนื้อหาภายในไฟล์รูปภาพ ทำให้คำสั่งที่ซ่อนอยู่รอดพ้นจากการตรวจจับไปได้อย่างง่ายดาย เทคนิคนี้ทำงานโดยแบ่งการโจมตีออกเป็นสองส่วน ส่วนแรกคือไฟล์ข้อความที่ดูปกติ (ในที่นี้คือ AGENTS.md) ซึ่งจะสั่งให้ AI agent ไป 'ดึงค่าคงที่สำหรับการ build' จากไฟล์ภาพที่ระบุไว้ (docs/images/build-spec.png) ส่วนที่สองซึ่งเป็นหัวใจของการโจมตี คือคำสั่งอันตรายที่ถูกฝังเป็นข้อความอยู่ในไฟล์ภาพนั้นเอง โดยคำสั่งดังกล่าวจะบอกให้ AI ไปอ่านเนื้อหาในไฟล์ .env (ไฟล์ที่นักพัฒนามักใช้เก็บข้อมูลความลับ) ทีละตัวอักษร แล้วแปลงเป็นรหัสตัวเลข ASCII ก่อนจะเขียนมันลงไปในโค้ด
ในการทดสอบจริง นักวิจัยได้สาธิตกับ Cursor ซึ่งเป็น AI agent ที่ขับเคลื่อนด้วยโมเดล Claude Sonnet ผลปรากฏว่า Cursor ถูกหลอกให้ทำตามคำสั่งที่ซ่อนอยู่ในภาพได้สำเร็จตั้งแต่ครั้งแรก โดยมันได้สร้างรายการตัวเลขขึ้นมา 311 ตัว ซึ่งแท้จริงแล้วคือข้อมูลความลับทั้งหมดของโปรเจกต์ ไม่ว่าจะเป็น API keys, URL ฐานข้อมูล และข้อมูลการเข้าถึงระบบคลาวด์ ที่ถูกแปลงรหัสและปะปนไปกับการรีวิวโค้ดที่ดูเหมือนเป็นเรื่องปกติ
ช่องโหว่นี้เกิดขึ้นได้เพราะสำหรับระบบตรวจสอบโค้ดที่เน้นข้อความ ไฟล์ภาพเป็นเพียง Binary Blob (กลุ่มข้อมูลไบนารี) ที่ไม่สามารถอ่านเข้าใจได้ โดยนักวิจัยชี้ว่านี่ไม่ใช่แนวคิดใหม่ทั้งหมด ก่อนหน้านี้นักวิจัยจาก Trail of Bits ก็เคยสาธิตเทคนิคที่ซับซ้อนกว่า โดยใช้ภาพที่เมื่อถูก AI ย่อขนาดจะกลายเป็นคำสั่ง Prompt Injection เพื่อหลอกเครื่องมืออย่าง Gemini CLI ได้เช่นกัน ขณะนี้ทางทีม ASSET Research Group กำลังพัฒนาระบบป้องกันแบบ Multimodal (ที่เข้าใจข้อมูลหลายรูปแบบ) เพื่อตรวจสอบทั้งภาพ ข้อความ และพฤติกรรมของ AI agent ไปพร้อมกันเพื่ออุดช่องโหว่ลักษณะนี้ในอนาคต
ช่องโหว่นี้ชี้ให้เห็นจุดบอดสำคัญของเครื่องมือ AI ช่วยพัฒนาซอฟต์แวร์ในปัจจุบัน และเป็นสัญญาณเตือนสำหรับนักพัฒนาไทยที่ใช้ AI agent ว่าแม้แต่ไฟล์ภาพที่ดูไม่มีพิษภัยก็อาจเป็นช่องทางให้ผู้ไม่หวังดีขโมยข้อมูลสำคัญของโปรเจกต์ได้