事件檔案
AI
圖片嵌入惡意指令誘使AI助理外洩專案機密
2 篇報導 · 首次偵測 2026-07-13 · 最後活動 2026-07-14
隨著企業開發流程加速導入AI助理,原始碼審查的安全性備受關注。新攻擊「GhostCommit」將惡意指令隱藏在無害PNG圖檔中,繞過傳統文字掃描。當多模態AI助理讀取圖片時,會被誘騙存取並外洩專案中的敏感金鑰與憑證。此漏洞揭示了現行AI工具在多模態審查與權限管控上的防禦盲點。
美國密蘇里大學堪薩斯分校ASSET研究團隊於2026年7月11日揭露此技術。他們分析了300個活躍專案庫中的6,480個拉取請求,發現高達73%已合併的程式碼在未經實質人工或機器人審查下便進入預設分支,成為GhostCommit溫床。該研究促使業界反思開源軟體供應鏈安全,並呼籲引進多模態影像安全掃描。
全部報導
2 篇原始報導馬克翻舊帳
這個事件的歷史脈絡這個訊號沒有歷史回聲
訂閱馬克雷達週報
每週五,本週最強訊號送進收件匣。隨時一鍵退訂。