Исследователи из ASSET Research Group представили Ghostcommit — новый метод атаки, использующий скрытые промпт-инъекции в PNG-изображениях для обмана мультимодальных ИИ-агентов и кражи конфиденциальных данных из среды разработки.

Что произошло
Злоумышленники внедряют вредоносные инструкции непосредственно в графические файлы, которые ИИ-агенты считывают как визуальный контент. В ходе исследования было обнаружено, что агент Cursor уязвим к такой атаке: он может прочитать инструкции из картинки, извлечь секреты из .env-файлов и записать их в исходный код в виде обычных списков чисел. При этом Anthropic Claude Code продемонстрировал устойчивость к данному вектору.
Контекст
Проблема заключается в том, что современные мультимодальные модели обрабатывают визуальный контент, не проходя через стандартные фильтры проверки безопасности кода. Это создает слепую зону в рабочем процессе, где визуальные входные данные могут нести скрытые команды, доступ к которым предоставляет среда исполнения (harness) или IDE.
Почему это важно для индустрии
Атака смещает фокус безопасности с качества самих LLM на безопасность инструментов и инфраструктуры (IDE, агенты), предоставляющих моделям доступ к файловой системе. Это подчеркивает необходимость внедрения новых стандартов изоляции (sandboxing) и инструментов для сканирования мультимодального контента на наличие инъекций перед его обработкой.
Почему это важно для пользователей
Разработчикам, использующим ИИ-помощников, следует проявлять повышенную осторожность при работе с внешними pull request'ами, содержащими новые изображения или файлы вроде AGENTS.md. Важно контролировать права доступа агентов к чувствительным файлам и секретам в локальной среде.
Источники
Автор
Look at AI, редакция
