文章总结: Ghostcommit新型供应链攻击将窃取指令隐匿于PNG图片,配合AGENTS.md诱导AI代码智能体读取.env文件并编码为数字元组输出,绕过文本审查与密钥扫描。实测表明攻击成败取决于工具框架而非底层模型。建议引入多模态审查机制同步校验图片与文档,团队已开源基于Gemma4的轻量检测原型,实现高拦截率与零误报。 综合评分: 89 文章分类: AI安全,供应链安全,代码审计,漏洞POC,安全工具
,以数百位数字元组形式输出;该数字序列逐字节解码后,即为完整.env 明文内容。</p>
<p><img decoding=)
实测案例中,搭载 Claude Sonnet 模型的 Cursor 工具首次执行便输出含 311 个数字的元组,API 密钥、数据库地址、云平台凭证全部内嵌在看似普通的代码输出中。攻击者只需读取公开提交记录,将数字元组逆向解码,即可获取全部明文机密。
攻击利用两大检测盲区
恶意提示隐匿于图片内:人工审核、正则扫描、仅解析文本差分内容的大模型审查工具均无法识别;
机密数据伪装为数字元组:传统密钥扫描工具仅匹配字符串特征,无法识别可解码为 ASCII 字符的数字序列,因此不会告警。
多工具、多模型实测结果
研究人员对 11 套代码工具 + 大模型组合完成测试,发现攻击能否得逞,核心取决于工具运行框架,而非底层大模型本身:
Cursor 工具:搭配 Claude Sonnet 4.6、Composer-2、GPT-5.5 均会完整泄露.env 文件;
Antigravity 工具:搭配 Sonnet、Gemini 3.1 Pro、Gemini 3 Flash 全部存在泄露风险;
Claude Code 平台:同系列所有模型(Sonnet 4.6、Haiku 4.5、Opus 4.7)均能阻断攻击。同一 Sonnet 模型在不同运行环境下表现截然不同。
一处极端测试场景:Antigravity 搭载 Opus 模型时,虽已计算并输出机密,但识别到社会工程攻击逻辑后自动删除敏感内容,完成自我修正;而在 Claude Code 环境中,Opus 不会读取规范文档,因此不会触发该自防御机制。
自研防御检测方案
研究团队基于轻量化开源大模型 Gemma 4,开发一款多模态 GitHub 代码审查原型工具,仅需单块 4GB 显存显卡即可运行。工具融合三类检测能力:隐形字符识别、代码结构特征分析、对规范文档与内嵌图片同步执行大模型校验。
压力测试表现:
15 类攻击样本全量拦截,零误报;
80 份未知真实测试样本中,50 次攻击拦截 49 次,所有图片隐写变种全部检出;30 份正常业务提交无一条误标记。
研究团队已开源完整概念验证代码,含拆分载荷的拉取请求样本与数字解码工具,供安全防护人员研究防御对策。
END
推荐阅读
伊朗黑客组织亮出”秘密武器”:Cavern C2框架如何绕过所有安全检测
2026-07-10
630GB机密挂上暗网:苹果二十年供应链铁幕一夜崩塌
2026-07-09
T3MP3ST 安全框架:集成 35 款工具,将 AI 代码智能体转化为零日漏洞挖掘器
2026-07-07
恶意Skills利用扫描规避技术攻击Claude Code和Codex
2026-07-07
首个AI全流程勒索攻击来了:JADEPUFFER证明,勒索不再需要人类操盘手
2026-07-06
不给钱就社死,勒索软件又有新套路
2026-07-04
紧急!医疗巨头美敦力遭黑客入侵,患者隐私数据大规模外泄,这些坑普通人千万别踩
2026-07-03
SecSuite—— 搭载人工智能的开源情报、Web 与 API 安全综合测试工具
2026-07-02
RedAmon:串联侦察、漏洞利用与后渗透的 AI 安全工具
2026-07-01
「智弈」AI智能体攻防实战沙龙 · 6.24圆满落幕
2026-06-30
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全客 安全客 安全客《Ghostcommit 攻击:恶意提示藏入图片,劫持Agent实施窃取》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论