タグ: 生成AIセキュリティ

bleepingcomputer.com

「Ghostcommit」、画像にプロンプトインジェクションを隠しAIエージェントを欺いて機密情報を窃取

研究者らは、AIコードレビューアーが決して開かないPNG画像の中に悪意ある指示を隠すことで、リポジトリの機密情報を盗み出すプルリクエストを作成しました。 レビューアーはこの変更を問題なく通過させます。その後、コーディングエージェントがこの画像を読み込み、リポジトリの.envファイルを開き、すべてのキーを一見無害な数値

cyberpress.org

「GitLost」攻撃、GitHub Issuesを悪用しAIエージェントのコメント経由でプライベートリポジトリのデータを窃取

GitHubのAgentic Workflowsに存在するプロンプトインジェクションの脆弱性により、未認証の攻撃者が公開リポジトリに細工したissueを投稿するだけで、プライベートリポジトリの内容を窃取できることが判明しました。 Noma Security傘下の研究部門であるNoma Labsのセキュリティ研究者は、

zerolabs.rubrik.com

抽象から実装へ:LLMトラストバウンダリのエンジニアリング設計図 | CXO Transformation

AIセキュリティの現状:理論の洪水、設計図の欠乏サイバーセキュリティのフィードをスクロールすると、AIセキュリティに関するコンテンツが溢れているのがわかります。脅威モデリングのフレームワーク、概念的なリスクレポート、「エージェンティックAI」の危険性を論じるソートリーダーシップ記事——まさに洪水のような状態です。しかし