Ghostcommit : une injection de prompt cachée dans des images trompe les IA

Des chercheurs ont démontré qu’une nouvelle technique, nommée « Ghostcommit », permet d’injecter des instructions malveillantes dans des images PNG pour tromper les agents d’IA et dérober des informations sensibles.

Cette méthode exploite le fait que certains outils d’examen de code basés sur l’IA, tels que CodeRabbit et Bugbot, n’analysent pas les fichiers image. En intégrant une injection de prompt dans un fichier PNG, les attaquants peuvent contourner ces protections initiales.

Une fois l’image acceptée, un agent de codage IA peut être incité à lire des fichiers critiques comme .env, qui contiennent des secrets de dépôt. Les chercheurs ont réussi à faire en sorte que l’agent extraie ces secrets et les inscrive dans le code sous forme de liste de nombres.

Cette découverte souligne une vulnérabilité potentielle majeure dans la chaîne de développement logiciel assistée par IA, où la confiance dans les fichiers multimédias pourrait être exploitée pour des exfiltrations de données. La vigilance s’impose face à l’évolution des menaces ciblant les systèmes d’intelligence artificielle.

Source : BleepingComputer

Catégories : Brèves IA
← Article précédentMeta retire une fonction d'IA après des images historiques inexactesArticle suivant →Des caméras Flock AI mènent à une détention erronée aux États-Unis

Restez informé de l'actualité IA

Recevez chaque semaine notre sélection des meilleures analyses sur l'intelligence artificielle.

Pas de spam. Désinscription en un clic.

Laisser un commentaire

FR EN ES