「Ghostcommit」が画像にプロンプトインジェクションを隠蔽し、AIエージェントを騙して秘密を盗む
研究者らは、AIコードレビュアーが開かないPNG画像に悪意のある命令を隠し、リポジトリの秘密情報を盗むプルリクエストを構築した。
研究者らは、「Ghostcommit」と呼ばれる新たな攻撃手法を実証しました。この攻撃は、悪意のあるプロンプトインジェクションをPNG画像ファイルに隠蔽し、AIコードレビューツールを欺いてリポジトリの秘密情報を盗み出すものです。
攻撃の流れは以下の通りです。攻撃者は悪意のあるPNG画像を含むプルリクエストを提出します。AIコードレビュアーはレビュー時に画像を開かないため、隠された命令に気づかず、簡単に承認してしまいます。その後、コード処理エージェント(GitHub Copilotなど)がコードを処理する際に画像を読み取り、隠された命令に従ってリポジトリの.envファイルを開き、すべてのキーを一見無害な数字のリストとしてソースコードに書き込みます。
この攻撃は、ミズーリ大学カンザスシティ校のASSET研究グループによって開発され、准教授のSudipta Chattopadhyay氏と研究者のMurali Ediga氏が共同で行い、BleepingComputerに公開されました。この発見は、AI支援プログラミングツールのセキュリティリスクを浮き彫りにしており、開発者はAIエージェントを統合する際にこのような隠れた攻撃に注意する必要があることを示しています。