Уязвимость ИИ-агентов: вредоносный код в GitHub-репозиториях

Исследователи обнаружили новый вектор атаки на ИИ-агенты для написания кода. Злоумышленники создают GitHub-репозитории, которые выглядят как легитимные библиотеки, но содержат скрытые инструкции, заставляющие агентов выполнять вредоносные команды. Агенты, полагающиеся на контекст из репозиториев, автоматически включают опасный код в проекты пользователей, что создает серьезные риски для цепочек поставок программного обеспечения.

Проблема заключается в том, что современные инструменты разработки на базе ИИ часто анализируют и интегрируют код из внешних источников без глубокой проверки безопасности. В ходе эксперимента эксперты успешно обманули несколько популярных агентных систем, заставив их исполнить скрипты, которые крадут учетные данные или открывают бэкдоры. Агенты воспринимают вредоносные инструкции как часть стандартной логики разработки, если они оформлены в виде корректных комментариев или документации.

Этот метод эксплуатации использует доверие ИИ к структуре репозитория. Поскольку агенты стремятся следовать «лучшим практикам» и контексту проекта, они склонны доверять файлам конфигурации и установщикам, которые выглядят стандартно. В результате разработчики, использующие ИИ-помощников, могут непреднамеренно внедрить уязвимости в свои приложения, даже не подозревая об этом.

Ключевые факты

• Злоумышленники используют специально подготовленные GitHub-репозитории для манипуляции поведением ИИ-агентов.
• Агенты автоматически исполняют вредоносные команды, замаскированные под легитимные задачи по настройке окружения или установке зависимостей.
• В ходе тестов удалось успешно скомпрометировать несколько популярных инструментов для автоматизированного программирования.
• Основной риск заключается в скрытом внедрении бэкдоров в проекты, которые ИИ-агенты считают безопасными на основе анализа структуры репозитория.