Новая уязвимость в коде ИИ подвергает миллионы потенциальной угрозе кибератак

Исследователи из Pillar Security обнаружили значительную уязвимость в GitHub Copilot и Cursor, двух широко используемых помощниках по кодированию на базе искусственного интеллекта.

Этот новый метод атаки получил название «Задний проход через файлы правил». Он позволяет хакерам внедрять скрытые вредоносные инструкции в файлы настроек, обманывая AI и заставляя его генерировать поддельный код, который может обойти стандартные проверки безопасности.

В отличие от традиционных атак, которые используют известные уязвимости программного обеспечения, эта техника манипулирует самим ИИ, превращая его в невольный инструмент для киберпреступников. «Эта атака остается практически невидимой для разработчиков и команд безопасности», — предупредили исследователи из Pillar Security.

Pillar сообщает, что генеративные инструменты кодирования ИИ стали неотъемлемой частью работы разработчиков, исследование GitHub за 2024 год показало, что 97% разработчиков корпоративного уровня полагаются на них.

Поскольку эти инструменты формируют разработку программного обеспечения, они также создают новые риски в области безопасности. Хакеры теперь могут использовать способ, которым AI-ассистенты интерпретируют файлы правил — текстовые конфигурационные файлы, используемые для управления поведением кодирования AI.

Эти файлы правил, которые часто публикуются публично или хранятся в репозиториях с открытым исходным кодом, обычно доверяют без осмотра. Атакующие могут внедрить скрытые символы Unicode или тонкие подсказки в эти файлы, влияя на код, генерируемый AI, способами, которые разработчики могут никогда не обнаружить.

Как только эти вредоносные инструкции вводятся, они сохраняются в проектах, тихо распространяя уязвимости безопасности. Pillar Security продемонстрировала, как простой файл правил может быть манипулирован для внедрения вредоносного кода.

С помощью невидимых символов Unicode и языковых трюков, злоумышленники могут направлять AI-ассистентов на генерацию кода, содержащего скрытые уязвимости — такие как скрипты, которые утечку конфиденциальных данных или обходят механизмы аутентификации. Что еще хуже, AI никогда не предупреждает разработчика о этих изменениях.

«Эта атака работает в различных помощниках по кодированию AI, что указывает на системную уязвимость», — отметили исследователи. Как только компрометированный файл правил принят, каждая последующая сессия генерации кода AI в этом проекте становится потенциальным риском для безопасности.

У этой уязвимости далеко идущие последствия, поскольку зараженные файлы правил могут распространяться через различные каналы. Открытые репозитории представляют существенный риск, поскольку ничего не подозревающие разработчики могут загружать готовые файлы правил, не подозревая, что они скомпрометированы.

Сообщества разработчиков также становятся вектором распространения, когда злонамеренные актеры делятся казалось бы полезными конфигурациями, содержащими скрытые угрозы. Кроме того, шаблоны проектов, используемые для настройки нового программного обеспечения, могут незаметно переносить эти эксплуатации, внедряя уязвимости с самого начала.

Pillar Security сообщила о проблеме как Cursor, так и GitHub в феврале и марте 2025 года. Однако обе компании возложили ответственность на пользователей. GitHub ответил, что разработчики несут ответственность за проверку предложений, сгенерированных AI, в то время как Cursor заявил, что риск лежит на пользователях, управляющих своими файлами правил.