Исследователи продемонстрировали новый тип атаки с внедрением подсказок (Prompt Injection): оказалось, что безобидные на вид PNG-изображения могут стать точкой входа для атак на AI-помощники для работы с кодом. Авторы исследования — профессор Судзипта Чаттопадхьяй (Sudipta Chattopadhyay) и исследователь Мурали Эдига (Murali Ediga).
Злоумышленники могут встраивать вредоносные инструкции в изображения и другие непрограммные ресурсы. Эти инструкции не срабатывают сразу — они активируются позже, когда разработчик даёт AI-помощнику новые задания (например, добавить функцию или создать модуль). В этот момент ИИ, уже «усваивший» ранее внедрённый контент, может получить доступ к конфиденциальным файлам проекта и включить секретные данные в генерируемый код.
Опасность в том, что утечка информации не будет заметна в исходном коде — данные маскируются под обычные числа. Это снижает вероятность обнаружения аномалий существующими инструментами безопасности и увеличивает шанс, что подозрительную активность пропустят при ручной проверке.
Исследователи выяснили: уровень риска зависит не столько от самой большой языковой модели (LLM), сколько от особенностей реализации внешнего AI-помощника. Одни инструменты безоговорочно выполняют скрытые инструкции, другие способны выявлять подозрительные признаки и блокировать выполнение.
Для защиты нужно оснастить инструменты проверки AI многомодальными (Multimodal) возможностями — чтобы они одинаково строго анализировали и код, и изображения, и файлы настроек, и прочие непрограммные данные. Разработчикам же стоит помнить: хотя AI-инструменты ускоряют процесс создания кода, они создают и новые векторы атак — угроза может скрываться не в тысячах строк кода, а в неприметном изображении.