Nowa Podatność Kodu AI Naraża Miliony na Potencjalne Ataki Cybernetyczne

Badacze z Pillar Security odkryli znaczącą lukę w GitHub Copilot i Cursor, dwóch powszechnie używanych, wspomaganych przez AI asystentach do kodowania.

Określana mianem „Rules File Backdoor”, ta nowa metoda ataku pozwala hakerom na umieszczanie ukrytych złośliwych instrukcji w plikach konfiguracyjnych, co zmyla AI i skłania do generowania uszkodzonego kodu, który może ominąć standardowe kontrole bezpieczeństwa.

W przeciwieństwie do tradycyjnych ataków, które wykorzystują znane luki w oprogramowaniu, ta technika manipuluje samym AI, czyniąc z niego nieświadome narzędzie dla cyberprzestępców. „Ten atak pozostaje praktycznie niewidoczny dla programistów i zespołów bezpieczeństwa”, ostrzegli badacze z Pillar Security.

Pillar informuje, że generatywne narzędzia do kodowania AI stały się niezbędne dla programistów, z badania GitHub z 2024 roku wynika, że 97% programistów korporacyjnych polega na nich.

Te narzędzia kształtują rozwój oprogramowania, ale jednocześnie stwarzają nowe zagrożenia dla bezpieczeństwa. Hakerzy mogą teraz wykorzystywać sposób, w jaki asystenci AI interpretują pliki zasad – tekstowe pliki konfiguracyjne używane do kierowania zachowaniem kodowania AI.

Te pliki zasad, często udostępniane publicznie lub przechowywane w otwartych repozytoriach, zwykle są zaufane bez szczegółowej analizy. Atakujący mogą wstrzyknąć ukryte znaki Unicode lub subtelne polecenia do tych plików, wpływając na kod generowany przez AI w sposób, którego deweloperzy mogą nigdy nie wykryć.

Po wprowadzeniu, te złośliwe instrukcje utrzymują się przez całe projekty, cicho rozprzestrzeniając luki w zabezpieczeniach. Pillar Security pokazało, jak proste pliki zasad mogą być manipulowane, aby wstrzyknąć złośliwy kod.

Korzystając z niewidocznych znaków Unicode i językowych sztuczek, atakujący mogą nakierować asystentów AI na generowanie kodu zawierającego ukryte luki – takie jak skrypty, które przeciekają wrażliwe dane lub omijają mechanizmy uwierzytelniania. Co gorsza, AI nigdy nie informuje programisty o tych modyfikacjach.

„Ten atak działa na różnych asystentach do kodowania AI, co sugeruje systemową podatność,” zauważyli badacze. Gdy przyjęty zostaje skompromitowany plik z regułami, każda kolejna sesja kodowania generowana przez AI w tym projekcie staje się potencjalnym zagrożeniem dla bezpieczeństwa.

Ta podatność ma daleko idące konsekwencje, ponieważ zatrute pliki z regułami mogą rozprzestrzeniać się poprzez różne kanały. Repozytoria open-source stanowią znaczne ryzyko, ponieważ niczego nie podejrzewający programiści mogą pobierać gotowe pliki z regułami, nie zdając sobie sprawy, że są one skompromitowane.

Społeczności programistów stają się również wektorem dystrybucji, gdy złośliwi aktorzy udostępniają pozornie pomocne konfiguracje zawierające ukryte zagrożenia. Dodatkowo, szablony projektów używane do konfiguracji nowego oprogramowania mogą nieświadomie przenosić te zagrożenia, wprowadzając podatności od samego początku.

Pillar Security ujawniło problem zarówno Cursorowi, jak i GitHubowi w lutym i marcu 2025 roku. Jednak obie firmy zrzuciły odpowiedzialność na użytkowników. GitHub odpowiedział, że to programiści są odpowiedzialni za przeglądanie propozycji generowanych przez AI, natomiast Cursor stwierdził, że ryzyko spoczywa na użytkownikach zarządzających swoimi plikami z regułami.