'Ghostcommit' hides prompt injection in images to fool AI agents, steal secrets
Forscher haben eine neue Technik namens „Ghostcommit“ entwickelt, bei der Prompt Injections in PNG-Bilder versteckt werden, um KI-Agenten zu manipulieren. Diese Bilder können von KI-Code-Reviewern übersehen werden und anschließend einen Coding-Agent dazu bringen, sensible Daten wie Repository-Geheimnisse auszulesen und offenzulegen. Unternehmen und Entwickler, die KI-Agenten einsetzen, sollten ihre Systeme überprüfen und sicherstellen, dass auch Bilddateien auf bösartige Inhalte gescannt werden.
Forscher haben eine neue Technik namens „Ghostcommit“ entwickelt, die Prompt Injections in PNG-Bilder einbettet, um KI-Agenten zu manipulieren. Diese Technik kann KI-Code-Reviewer umgehen und einen Coding-Agent dazu bringen, sensible Daten wie Repository-Geheimnisse auszulesen. Unternehmen und Entwickler, die KI-Agenten einsetzen, sollten ihre Systeme auf diese neue Bedrohung überprüfen.
Unternehmen und Entwickler, die KI-Agenten einsetzen, insbesondere für Code-Reviews oder die Verarbeitung von Bilddateien.
Diese Technik stellt einen neuen Angriffsvektor dar, der es Angreifern ermöglicht, KI-Agenten zu manipulieren, indem sie scheinbar harmlose Bilddateien verwenden. Dies kann zur Offenlegung sensibler Daten führen, die normalerweise durch Code-Reviews geschützt wären.
Ein manipulierter KI-Coding-Agent liest unbemerkt Repository-Geheimnisse aus `.env`-Dateien aus und legt diese offen, was zu einem Datenleck und potenziell weiteren Kompromittierungen führen kann.
Überprüfen Sie KI-Systeme und -Workflows, um sicherzustellen, dass auch Bilddateien auf bösartige Inhalte und versteckte Anweisungen gescannt werden, bevor sie von KI-Agenten verarbeitet werden.
- ▸Überprüfen Sie die Konfiguration Ihrer KI-Agenten, um sicherzustellen, dass sie alle Dateitypen, einschließlich PNG-Bilder, auf eingebettete Anweisungen oder bösartige Inhalte scannen.
- ▸Validieren Sie, ob Ihre KI-Code-Reviewer in der Lage sind, Prompt Injections in Bilddateien zu erkennen, die in einem Code-Repository abgelegt sind.
- ▸Testen Sie die Fähigkeit Ihrer KI-Agenten, sensible Daten (z.B. `.env`-Dateien) zu identifizieren und deren Offenlegung zu verhindern, selbst wenn sie durch externe Eingaben manipuliert werden.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | Low | not specified in the article |
| Defense Evasion | T1027 Obfuscated Files or Information | High | Prompt Injections in PNG-Bilder versteckt werden |
| Collection | T1119 Automated Collection | High | einen Coding-Agent dazu bringen, sensible Daten wie Repository-Geheimnisse auszulesen und offenzulegen |
- Es ist nicht spezifiziert, welche spezifischen KI-Modelle oder Plattformen anfällig sind.
- Der genaue Mechanismus der Prompt Injection innerhalb des PNG-Bildes (z.B. Metadaten, Pixeldaten) ist nicht detailliert beschrieben.
- Es wird nicht erwähnt, ob spezifische Gegenmaßnahmen oder Tools zur Erkennung dieser Art von Angriffen bereits existieren oder entwickelt werden.
Red-Team-Relevanz
Was heißt das für dein nächstes Assessment?
- Initial Access möglich?Unklar
- Privilege Escalation relevant?Unklar
- Exploit öffentlich verfügbar?Unklar
- Detection / Logging prüfbar?Unklar
- Für Purple-Team-Szenario geeignet?Unklar
Kundenfragen
- Sind wir hiervon betroffen — und können wir es detektieren?