AI安全案例分析 |Ghostcommit攻击利用图片窃取秘密

admin 2026-07-14 05:13:33 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Ghostcommit攻击利用AI辅助开发流程中图片不被审查的盲区,通过PR投递含恶意指令的图片,诱导AIAgent窃取.env文件中的敏感凭证。该攻击不依赖CVE漏洞,而是利用工具链设计缺陷,传统防线全部失效。启示是需审视整个AI开发流程的安全盲区,工具链安全设计比模型对齐更关键。 综合评分: 87 文章分类: AI安全,红队,供应链安全,安全运营,漏洞分析


cover_image

AI安全案例分析 | Ghostcommit攻击利用图片窃取秘密

原创

天元实验室 天元实验室

M01N Team

2026年7月13日 18:00 北京

在小说阅读器读本章

去阅读

概述

2026年7月11日,密苏里大学堪萨斯城分校ASSET研究组的两位研究人员Sudipta Chattopadhyay和Murali Ediga公开了一种名为Ghostcommit的新型攻击手法,能够将目标的.env文件全部窃取。该攻击的巧妙之处就在于:恶意指令不是文本,而是一张图片。

01 攻击背景

Ghostcommit攻击所利用的,本质上是AI辅助开发流程中一个结构性的审查盲区,并不依赖于某个具体的CVE漏洞。

研究人员对过去90天内300个最活跃公共仓库的6480个PR进行了调查,发现73%的已合并PR最终进入默认分支时,既没有实质性的人工审查,也没有任何机器人审查。填补这一审查空白的,是Cursor Bugbot和CodeRabbit这类LLM驱动的代码审查工具;但它们虽然能读代码、读文档,却默认不看图片。

这个盲区的根源,不在于模型能力的欠缺,而在于工具链设计者在定义审查范围时,没有将图片纳入其中。随着AI编程工具不断扩展多模态能力,这种“模型能读但工具不看”的不对称,正在成为攻击者眼中最具价值的突破口。

02 攻击过程

攻击主要分为两个阶段:投递和触发。

阶段一:投递

攻击者在一个pull request 添加了一个编码规约文件AGENTS.md。该文件指向一张图片,而漏洞利用代码存在于图片内部,而非文本中。攻击者提交PR,因为图片在diff中只是一个二进制文件,人类审查员通常不会打开它;而AI审查工具因默认排除图片而没有任何发现。PR顺利合入主分支,恶意指令就此潜伏在仓库中,等待着触发。

阶段二:触发

一段时间后,开发者让编码AI Agent编写一个常规模块。Agent读取了已合并的规约文件,打开了图片,遵循其中的指示,将.env文件的内容以整数元组的形式写入新文件。这些整数逐字节解码后即是受害者的.env文件全部内容,但由于秘密扫描工具不会把一个Python整数元组反转回ASCII来检查,它们全程不会有任何反应。攻击者读取公共提交中的元组并解码即可获取秘密。

03 攻击威胁

Ghostcommit的最终目的是窃取仓库.env文件中的全部敏感凭证,包括API密钥、数据库连接串和云服务令牌。更值得警惕的是,攻击成功率几乎完全取决于编码工具本身,而非底层模型。Cursor和Antigravity在多种模型下均泄露秘密,而Claude Code在同样模型权重下却明确拒绝执行。这些数据表明,工具链的安全边界设计比模型对齐更关键。

由人工审查、AI文本审查和秘密扫描构成的传统防线,在面对图片内嵌指令和整数编码时全部失效,使得攻击隐蔽性极高,几乎能在开发者毫无察觉的情况下完成整个窃取链条。

04 案例总结

Ghostcommit是第一个将多模态提示注入与供应链攻击相结合的实战化攻击手法。它虽然不依赖于复杂的漏洞利用技术,但却精准地击中了现代AI辅助开发流程中的结构性盲点。

“没人会去看图片。这就是整个攻击的核心。”研究人员在公开文件的开头就道出了Ghostcommit的本质。当AI助手拥有了多模态理解能力,而审查流程还停留在纯文本时代,这种能力不对称就成为了新的攻击面。对于安全从业者而言,Ghostcommit的启示是:不要只盯着模型本身的安全,更要审视整个AI开发流程中每一个环节的盲区。而真正的安全,是永远在攻击者发现盲区之前堵住它。

关于 AISS 安全智链社区

本案例已收录至 AISS 安全智链社区案例库,社区地址:https://aiss.nsfocus.com/#/

参考链接

[1] BleepingComputer: “Ghostcommit” hides prompt injection in images to fool AI agents, steal secrets — https://www.bleepingcomputer.com/news/security/ghostcommit-hides-prompt-injection-in-images-to-fool-ai-agents-steal-secrets/

[2] GitHub: asset-group/ghostcommit — PoC for GhostCommit Attack — https://github.com/asset-group/ghostcommit

[3] ASSET Research Group: We put the exploit in a picture. The AI code reviewer never opened it. — https://asset-group.github.io/disclosures/ghostcommit/

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:M01N Team 天元实验室 天元实验室《AI安全案例分析 | Ghostcommit攻击利用图片窃取秘密》

评论:0   参与:  0