
ИИ-агента взломали простым PNG-файлом — и он послушно слил пароли злоумышленнику
runaway_llm 2 минуты назад ИИ-агента взломали простым PNG-файлом — и он послушно слил пароли злоумышленнику Простой 3 мин 0 Искусственный интеллект Машинное обучение * Информационная безопасность * Обзор Prompt...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
Значимый прорыв формирует отрасль ИИ: runaway_llm 2 минуты назад ИИ-агента взломали простым PNG-файлом — и он послушно слил пароли злоумышленнику Простой 3 мин 0 Искусственный интеллект Машинное обучение * Информационная безопасность * Обзор Prompt injection — один из самых распространенных способов взлома ИИ-агентов. В текст, с которым работает модель, прячется вредоносная инструкция в расчете на то, что человек не будет проверять все подряд, а ИИ прочитает и выполнит. Очевидно, что системы безопасности современных моделей настроены в первую очередь на распознание и игнорирование подобных инструкций.
Поэтому злоумышленники постоянно ищут способы, как запрятать их еще глубже. Каналов таких набралось уже немало. Инструкцию прячут в невидимых Unicode-символах, ее пишут белым по белому на веб-странице, а свежий пример — атака Ghostcommit, которую показали исследователи из ASSET Research Group: они спрятали вредоносный приказ внутри картинки, приложенной к пул-реквесту, — в расчете на то, что ИИ-ревьюер пропустит ее не открывая.
Технические детали
Из двух популярных ИИ-ревьюеров CodeRabbit по умолчанию вообще исключает картинки из проверки, а Bugbot пусть и проверил, но не заметил ничего вредоносного. Хотя ради эксперимента исследователи прямо вписали в PNG слова "вредоносная промпт-инъекция" и явный приказ читать . env — и ревьюер все равно не увидел угрозы.
Причина проста: для ИИ-ревьюера, который работает с текстом, картинка — это просто набор байтов, читать в ней нечего. Параллельно с картинкой в репозиторий добавляют файл AGENTS. md с инструкциями, который ИИ-агенты читают автоматически и выполняют как обязательное правило.
Написано там про рутинную "гигиену сборки", в ходе которой файл ссылается на картинку build-spec. png и просит вывести из нее служебную константу. Именно в картинке и спрятан вредоносный приказ — прочитать .
Отраслевые последствия
env побайтово, превратить каждый байт в число и вписать результат в код. А чтобы усыпить последнюю защиту ревьюера — проверку на связность, которая помечает подозрительным правило без реального кода за ним, — к пул-реквесту приложили еще и легенду прикрытия: фейковый "валидатор происхождения" на 50 строк и выдуманный отчет о разборе инцидента. С такой обвязкой пул-реквест проходит вообще без замечаний.
При этом кража происходит не сразу: наживка спокойно лежит в репозитории, пока в совершенно другой сессии разработчик не попросит агента о чем-то будничном, например собрать модуль учета токенов. Тот при запуске читает AGENTS. md, идет по ссылке на картинку, открывает .
env и вписывает в новый модуль ту самую константу. В одном из прогонов Cursor под управлением Claude Sonnet сделал это с первой попытки: список из 311 чисел, которые побайтово разворачиваются в полное содержимое . env — API-ключи, адреса баз данных, облачные учетки.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.





