Mastodon
Zdjęcie okładkowe wpisu Badacze ukryli instrukcje w obrazku PNG. Sztuczna inteligencja wykonała polecenia

Badacze ukryli instrukcje w obrazku PNG. Sztuczna inteligencja wykonała polecenia

0
Dodane: 6 godzin temu

Zaufanie, jakim programiści obdarzają asystentów kodowania opartych na sztucznej inteligencji, może stać się ich największą słabością.

Narzędzia takie jak Claude, GitHub Copilot czy specjalistyczne boty do przeglądu kodu rewoljonizują tempo pracy w IT, jednak otwierają jednocześnie zupełnie nowe, nieznane dotąd wektory cyberataków. Zespół badaczy bezpieczeństwa udowodnił, że potrafi skutecznie zmanipulować sztuczną inteligencję za pomocą techniki prompt injection, ukrywając instrukcje tam, gdzie nikt nie spodziewałby się zagrożenia – wewnątrz zwykłego pliku graficznego PNG.

Dla deweloperów oraz menedżerów projektów IT to mocne ostrzeżenie. Pokazuje ono, że bezkrytyczne poleganie na cyfrowych asystentach bez rygorystycznego nadzoru człowieka stwarza ryzyko podstępnego zmanipulowania kodu za pomocą jednego, z pozoru niewinnego elementu graficznego.

Anatomia ataku, czyli instrukcje wstrzyknięte w logo

Profesor Sudipta Chattopadhyay oraz badacz Murali Ediga z Singapore University of Technology and Design (SUTD) przeprowadzili udany eksperyment wstrzyknięcia złośliwych instrukcji, który omija tradycyjne zapory bezpieczeństwa. Zamiast modyfikować linie kodu źródłowego, co natychmiast wywołałoby alarm w systemach testowych, naukowcy zaszyli polecenia sterujące wewnątrz pliku graficznego – na przykład w logo firmy umieszczonym w dokumentacji projektu.

Część narzędzi analizujących pull requesty traktuje pliki graficzne jako elementy dekoracyjne i nie poddaje ich głębokiej weryfikacji logicznej pod kątem bezpieczeństwa. Efekt? Cała paczka zmian przechodzi przez automatyczny przegląd bez żadnych zastrzeżeń i zostaje scalona z głównym projektem.

Zagrożenie nie aktywuje się jednak natychmiast. Ukryty w pliku PNG mechanizm czeka w uśpieniu do momentu, gdy programista w toku późniejszej pracy poprosi asystenta AI o wykonanie zupełnie innego, niezwiązanego z grafiką zadania (np. napisanie prostej funkcji pomocniczej). Wtedy nakarmiony wcześniej instrukcjami model – o ile platforma udostępnia mu odpowiednie uprawnienia systemowe – może zostać skłoniony do nieautoryzowanego wglądu w poufne pliki projektu. Wykradzione w ten sposób hasła lub klucze API potrafi następnie zamaskować pod postacią zwyczajnie wyglądających zmiennych w nowo generowanym kodzie.

To nie kwestia modelu, a architektury platformy

Najbardziej niepokojącym wnioskiem z opublikowanych badań jest fakt, że podatność nie zależy od konkretnego modelu językowego (LLM). Ten sam silnik AI zachowywał się skrajnie różnie w zależności od tego, w jaką aplikację lub platformę dla programistów został opakowany. Niektóre systemy bezkrytycznie wykonywały ukryte w grafice polecenia, podczas gdy inne wykrywały anomalie i przerywały operację.

Problem nie leży więc w samych sieciach neuronowych, ale w architekturze zabezpieczeń systemów zewnętrznych. Twórcy asystentów AI muszą pilnie wdrożyć podejście prawdziwie multimodalne – pliki konfiguracyjne, dokumentacja, a zwłaszcza obrazy, muszą być analizowane z dokładnie takim samym rygorem i podejrzliwością jak czysty kod źródłowy. Do tego czasu najważniejszą zaporą pozostaje człowiek, który musi pamiętać, że niebezpieczne polecenie może kryć się w pliku, którego nikt nie uznał za wart otwarcia.

Rozmowy nie zablokujesz firewallem. Jak hakerzy używają języka naturalnego do ataków na firmowe AI

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .