← promppy_ 실시간 AI 뉴스
중요Reddit

악성 PNG로 AI 코드 리뷰 우회하는 'Ghostcommit' 공격 등장

이미지 픽셀 미검사 허점 악용해 .env 키 유출. CodeRabbit 등 리뷰 도구 쓰면 비전 처리 점검 필요.

요약

Ghostcommit은 시각 기능을 갖춘 AI 코딩 도구를 공격하는 새로운 공급망 취약점으로, 텍스트 기반 규칙 파일과 악성 명령이 포함된 PNG 이미지를 결합해 AI를 속이는 방식이다. CodeRabbit과 같은 자동화된 코드 리뷰 도구는 이진 이미지 파일의 픽셀을 분석하지 못해 악성 풀 리퀘스트를 탐지하지 못하는 허점이 있다. 일단 병합되면 로컬 환경의 AI 에이전트가 이미지 내 시각적 프롬프트를 인식해 개발자의 .env 키 등 민감 정보를 추출하고 이를 무해한 배열 형태로 변조해 외부로 유출한다. 현재 이 공격을 방어하기 위해서는 자동화된 코드 리뷰 프로세스에서 AI의 시각 기능을 비활성화하는 등 파이프라인 보안 강화 조치가 필수적이다.

AI가 원문을 요약한 내용으로, 부정확할 수 있습니다.

원문 제목 Inside Ghostcommit: How Malicious PNGs Bypass AI Code Reviewers

원문 보기 ↗

최신 뉴스

더 많은 실시간 AI 뉴스 →