Пока индустрия упаковывает мультимодальность в нарядные презентации, исследователи из ASSET Research Group наглядно демонстрируют: обычная картинка в пул-реквесте может стать фатальным «троянским конем». Механика атаки Ghostcommit изящна в своей деструктивности. Вредоносная инструкция внедряется в метаданные или визуальный слой PNG-файла, на который ссылается служебный конфиг (например, AGENTS.md). ИИ-агент, натасканный на автоматический разбор кода, послушно считывает изображение как прямое руководство к действию и сливает API-ключи, обходя любые текстовые фильтры.
На практике это выглядит как капитуляция безопасности перед удобством. Автономные ревьюеры вроде CodeRabbit или Bugbot оказались совершенно не готовы к визуальным инъекциям. В тестах CodeRabbit проигнорировал подвох, а Bugbot в упор не заметил приказа прочитать файл .env, даже когда исследователи написали это открытым текстом поверх картинки. Для системы команда внутри PNG имеет тот же вес, что и системный промпт. В связке Cursor и Claude Sonnet атака прошла с первой попытки: агент превратил содержимое .env в безобидный список из 311 чисел и интегрировал их в код под видом математической константы. Сканеры секретов ожидаемо промолчали — они просто не обучены искать пароли, замаскированные под массивы данных.
Анатомия отложенной кражи
Механика Ghostcommit строится на «спящем» режиме: агент исполняет код не мгновенно, а в контексте будущих рутинных задач. Как только разработчик просит нейросеть собрать модуль, она подтягивает заложенные в репозиторий инструкции и завершает кражу. Ситуация усугубляется тем, что 73% пул-реквестов в трехстах самых активных публичных репозиториях принимаются без живой проверки человеком. Это превращает агентов в самое слабое звено корпоративного контура. И хотя топовые модели вроде Claude Opus в экспериментах иногда распознавали социальную инженерию, общая уязвимость архитектуры остается критической.
«ИИ-агенты сегодня — это исполнительные сотрудники с доступом к сейфу, которые готовы выполнить любой приказ, если он написан на красивой открытке».
Исследователи провели по 10 атак на каждую связку моделей, подтвердив стабильность результата: при отсутствии изоляции логики от внешнего контента агенты безропотно отдают доступы к облачной инфраструктуре и базам данных. Для бизнеса это означает одно: любое внедрение автономных ассистентов в CI/CD-процессы без жесткого разграничения прав доступа — это не инновация, а открытая дверь для промышленного шпионажа. Пока мультимодальные модели воспринимают пиксели как истину в последней инстанции, доверять им ключи от репозитория преждевременно.