bleepingcomputer.com > 2026年7月11日 18:13 「Ghostcommit」、画像にプロンプトインジェクションを隠しAIエージェントを欺いて機密情報を窃取 研究者らは、AIコードレビューアーが決して開かないPNG画像の中に悪意ある指示を隠すことで、リポジトリの機密情報を盗み出すプルリクエストを作成しました。 レビューアーはこの変更を問題なく通過させます。その後、コーディングエージェントがこの画像を読み込み、リポジトリの.envファイルを開き、すべてのキーを一見無害な数値