馬克雷達MARK RADAR
事件檔案 AI

圖片嵌入惡意指令誘使AI助理外洩專案機密

2 篇報導 · 首次偵測 2026-07-13 · 最後活動 2026-07-14

隨著企業開發流程加速導入AI助理,原始碼審查的安全性備受關注。新攻擊「GhostCommit」將惡意指令隱藏在無害PNG圖檔中,繞過傳統文字掃描。當多模態AI助理讀取圖片時,會被誘騙存取並外洩專案中的敏感金鑰與憑證。此漏洞揭示了現行AI工具在多模態審查與權限管控上的防禦盲點。

美國密蘇里大學堪薩斯分校ASSET研究團隊於2026年7月11日揭露此技術。他們分析了300個活躍專案庫中的6,480個拉取請求,發現高達73%已合併的程式碼在未經實質人工或機器人審查下便進入預設分支,成為GhostCommit溫床。該研究促使業界反思開源軟體供應鏈安全,並呼籲引進多模態影像安全掃描。

全部報導

2 篇原始報導

馬克翻舊帳

這個事件的歷史脈絡

這個訊號沒有歷史回聲

馬克雷達|MARK RADAR