Forscher entdecken 'Ghostcommit', eine neue Technik, die bösartige Befehle in Bilddateien versteckt und KI zur Entwendung vertraulicher Daten täuscht.
Ein Sicherheitsteam demonstriert die 'Ghostcommit'-Technik, die bösartige Befehle in PNG-Bilddateien einbetten kann, um Kontrollen zu umgehen und erfolgreich eine KI dazu bringt, Code zum Extrahieren wichtiger Projektdaten zu schreiben.
Die ASSET Research Group, eine Gruppe von Sicherheitsforschern, hat eine neue Angriffstechnik namens 'Ghostcommit' enthüllt. Diese Technik kann bösartige Prompt Injection-Befehle (unautorisierte Eingabeaufforderungen zur Manipulation einer KI) in harmlos aussehenden Bilddateien wie PNGs verstecken, um geheime Informationen wie API Keys oder Datenbankpasswörter aus dem Code-Repository eines Entwicklers zu stehlen.
Die Methode von Ghostcommit nutzt eine Schwachstelle beliebter KI-Code-Reviewer wie CodeRabbit und Bugbot aus. Diese Tools sind normalerweise nicht dafür konzipiert, den Inhalt von Bilddateien zu öffnen oder zu analysieren, wodurch die versteckten Befehle leicht der Erkennung entgehen. Die Technik funktioniert in zwei Teilen. Der erste Teil ist eine scheinbar normale Textdatei (in diesem Fall AGENTS.md), die dem KI-Agenten befiehlt, 'Konstanten für den Build' aus einer bestimmten Bilddatei (docs/images/build-spec.png) abzurufen. Der zweite und zentrale Teil des Angriffs ist der bösartige Befehl, der als Text in der Bilddatei selbst eingebettet ist. Dieser Befehl weist die KI an, den Inhalt der .env-Datei (die Entwickler oft zum Speichern geheimer Daten verwenden) Zeichen für Zeichen zu lesen, ihn in ASCII-Zahlen zu konvertieren und dann in den Code zu schreiben.
In einem realen Test demonstrierten die Forscher dies mit Cursor, einem KI-Agenten, der vom Claude Sonnet-Modell angetrieben wird. Cursor wurde beim ersten Versuch erfolgreich dazu verleitet, den in dem Bild versteckten Befehl auszuführen. Es erstellte eine Liste von 311 Zahlen, die tatsächlich alle geheimen Projektdaten waren – API keys, Datenbank-URLs und Cloud-Zugangsdaten –, verschlüsselt und mit einer scheinbar normalen Code-Review vermischt.
Diese Schwachstelle entsteht, weil für textbasierte Code-Review-Systeme Bilddateien lediglich unlesbare Binary Blobs sind. Die Forscher weisen darauf hin, dass dies keine völlig neue Idee ist. Zuvor hatten Forscher von Trail of Bits eine komplexere Technik demonstriert, bei der Bilder verwendet wurden, die bei der KI-Skalierung zu Prompt Injection-Befehlen wurden, um Tools wie Gemini CLI zu täuschen. Derzeit entwickelt das ASSET Research Group-Team ein multimodales Verteidigungssystem (das verschiedene Datentypen versteht), um Bilder, Text und das Verhalten von KI-Agenten gleichzeitig zu überprüfen und solche Schwachstellen in Zukunft zu schließen.
Diese Schwachstelle zeigt eine erhebliche Lücke in aktuellen KI-gestützten Softwareentwicklungstools auf. Sie ist eine Warnung für thailändische Entwickler, die KI-Agenten verwenden, dass selbst harmlos aussehende Bilddateien ein Einfallstor für Angreifer sein können, um kritische Projektdaten zu stehlen.