GhostCommit
A GhostCommit egy új ellátásilánc-támadási módszer, amely nem a forráskód sérülékenységeit, hanem az AI-alapú fejlesztői eszközök eltérő működését használja ki. A támadás során a támadó egy ártalmatlannak tűnő pull requestet készít, amely egy AGENTS.md fájlon keresztül egy PNG képre hivatkozik. A kép nem rejtett adatokkal vagy szteganográfiával dolgozik, hanem szabad szemmel is olvasható prompt injection utasításokat tartalmaz. A probléma abból adódik, hogy a jelenlegi AI kódfelülvizsgálók – például a CodeRabbit vagy a Bugbot – alapértelmezés szerint nem elemzik a képfájlok tartalmát, ezért a rosszindulatú utasításokat sem emberi, sem automatikus ellenőrzés nem észleli.
A támadás nem a pull request elfogadásakor aktiválódik. Miután a módosítás bekerül a repositoryba, egy későbbi fejlesztés során az AI fejlesztői ügynök – például Cursor vagy Antigravity – automatikusan feldolgozza az AGENTS.md fájlban szereplő utasításokat, megnyitja a hivatkozott képet, végrehajtja a benne található promptot, majd olyan érzékeny állományokat olvas be, mint a .env. A megszerzett API-kulcsokat, tokeneket és egyéb hitelesítő adatokat nem nyílt szövegként szivárogtatja ki, hanem egész számok sorozataként építi be egy legitimnek tűnő forráskódba vagy konfigurációs fájlba. A fejlesztő a kért funkciót látja, jóváhagyja a commitot, az eredeti támadó pedig a nyilvános repositoryból visszaalakítja a számsorozatot az eredeti titkos adatokra. A kutatók szerint a hagyományos secretszkennerek ezt nem észlelik, mivel nem vizsgálják, hogy egy számsorozat valójában kódolt hitelesítő adatokat tartalmaz-e.
A kutatás több AI-fejlesztői környezetet is vizsgált. A támadás sikeresen működött Cursor és Antigravity környezetben különböző modellekkel – többek között Claude Sonnet, Gemini és GPT-5.5 használatával –, míg a Claude Code minden teszt során megtagadta a rosszindulatú utasítás végrehajtását. Ez arra utal, hogy a biztonsági kockázatot nem önmagában a nyelvi modell, hanem az azt körülvevő fejlesztői környezet, az automatikusan betöltött szabályfájlok és az AI-ügynök jogosultságai határozzák meg.