GhostCommit攻撃、PNG画像にプロンプトインジェクションを潜ませて開発者のシークレットを窃取
新たなサプライチェーン攻撃により、レビューツールを一切作動させることなくAIコーディングエージェントを騙し、開発者のシークレット情報を盗み出すことが可能になっています。 ASSET Research Groupの研究者らは、GhostCommitと名付けられたこの手法を公表しました。この手法はプロンプトインジェクショ
新たなサプライチェーン攻撃により、レビューツールを一切作動させることなくAIコーディングエージェントを騙し、開発者のシークレット情報を盗み出すことが可能になっています。 ASSET Research Groupの研究者らは、GhostCommitと名付けられたこの手法を公表しました。この手法はプロンプトインジェクショ
研究者らは、プルリクエストに含まれる画像内に悪意のある指示を隠すプロンプトインジェクション手法「GhostCommit」を明らかにしました。この手法は、テキストのみを対象とするAIコードレビュアーを回避し、後にコーディングエージェントを操ってリポジトリのシークレットを流出させる可能性があります。 ASSET Rese
AnthropicのClaude Code GitHub Actionは、AIエージェントが信頼できないGitHubコンテンツを処理する際に、CI/CDワークフローのシークレットを意図せず漏洩させる可能性があります。 このリスクが生じる原因は、エージェントがファイルを読み込む際に使用する一部のツールが、Bashのよう
過去1年間にわたるソフトウェア開発へのAIの普遍的な統合は、本番環境のサイクルを...
GitGuardianの新たなレポートによると、開発者が2023年に公開GitH...