Vanad Bash-nipid paljastavad AI-koodiagendid tarneahela rünnakutele

AI turvauurijad on avastanud struktuurse turvanõrkuse nimega GuardFall, mis võimaldab aastakümnete vanustel Bash-käsurea nippidel mööduda enamiku avatud lähtekoodiga AI-koodiagentide kaitsemehhanismidest. Ründajad saavad ära kasutada shelli käitumist, näiteks jutumärkide eemaldamist ja muutujate laiendamist, et peita pahatahtlikke käske koodihoidlatesse, README-failidesse, Makefile’idesse või muusse sisusse, mida AI-agendid loevad.

Kui need käsud käivitatakse — eriti automaatse kinnitamise režiimis või pidevintegratsiooni (CI) keskkondades —, võivad nad varastada juurdepääsuandmeid, kompromiteerida arendajate süsteeme või võimaldada tarkvara tarneahela rünnakuid. Sellised rünnakud on eriti ohtlikud, kuna AI-agendid töötavad sageli kõrgendatud õigustega ja usaldavad sisendit ilma põhjaliku kontrollita.

Adversa AI uurijate sõnul suutis 11 testitud populaarsest avatud lähtekoodiga AI-koodiagendist kõik Bash-nippide tehnikad edukalt blokeerida vaid üks. Leid osutab laiemale probleemile, kus AI-tööriistade turvakontrollid ei arvesta piisavalt vanade süsteemide kihiliste käitumismustritega.

Loe täispikka artiklit: Slashdot

Lisa kommentaar