タグ: シークレット漏洩

cyberpress.org

GhostCommit攻撃、PNG画像にプロンプトインジェクションを潜ませて開発者のシークレットを窃取

新たなサプライチェーン攻撃により、レビューツールを一切作動させることなくAIコーディングエージェントを騙し、開発者のシークレット情報を盗み出すことが可能になっています。 ASSET Research Groupの研究者らは、GhostCommitと名付けられたこの手法を公表しました。この手法はプロンプトインジェクショ

gbhackers.com

新手法「GhostCommit」、画像内にエクスプロイトを隠してAIコードレビュアーを回避

研究者らは、プルリクエストに含まれる画像内に悪意のある指示を隠すプロンプトインジェクション手法「GhostCommit」を明らかにしました。この手法は、テキストのみを対象とするAIコードレビュアーを回避し、後にコーディングエージェントを操ってリポジトリのシークレットを流出させる可能性があります。 ASSET Rese

gbhackers.com

MicrosoftがClaude Code GitHub Actionの警告を発表――CI/CDシークレットが漏洩する恐れ

AnthropicのClaude Code GitHub Actionは、AIエージェントが信頼できないGitHubコンテンツを処理する際に、CI/CDワークフローのシークレットを意図せず漏洩させる可能性があります。 このリスクが生じる原因は、エージェントがファイルを読み込む際に使用する一部のツールが、Bashのよう