PNG画像に命令文を仕込んでAIコードレビュアーを素通り — 「Ghostcommit」攻撃が.envの中身を整数列として静かに盗む
DRANK

7月11日、BleepingComputerが「Ghostcommit' hides prompt injection in images to fool AI agents, steal secrets」と題した記事を公開した。PNG画像にプロンプトインジェクションを隠蔽することでAIコードレビュアーを欺き、リポジトリの秘密情報を窃取する「Ghostcommit」攻撃は、「そもそもレビュアーが画像を開かない」という構造的盲点を突いている点で、従来の同種の攻撃とは一線を画す。

by @tf_official
Related Topics: Security AI GitHub