Onderzoekers van de University of Missouri-Kansas City hebben een aanvalstechniek gedemonstreerd die kwaadaardige instructies verstopt in PNG-afbeeldingen binnen een coderepository. De techniek, Ghostcommit gedoopt, misleidt AI-codeerassistenten zodat die stilletjes geheime sleutels uit het project stelen.
De aanval van onderzoekers Sudipta Chattopadhyay en Murali Ediga werkt in twee stappen. Eerst sluist een aanvaller via een pull request een afbeelding met verborgen instructies een repository binnen. AI-reviewtools zoals CodeRabbit slaan afbeeldingen bij een codereview standaard over, dus de payload valt niet op — zeker omdat uit het onderzoek ook bleek dat 73 procent van de samengevoegde pull requests geen inhoudelijke menselijke review krijgt.
Daarna wacht de payload rustig af. Zodra een ontwikkelaar later een AI-agent op de repository loslaat, leest die de verborgen instructies alsnog. In de demonstratie kopieerde de agent vervolgens de inhoud van het .env-bestand — vol API-sleutels en tokens — en codeerde die als onschuldig ogende getallen in de broncode, klaar om te worden weggesluisd.
De onderzoekers testten meerdere tools. Cursor en Antigravity bleken kwetsbaar, ongeacht het onderliggende taalmodel (Claude Sonnet, GPT-5.5 of Gemini). Claude Code weigerde de verborgen opdrachten juist expliciet, zelfs met hetzelfde model eronder. De conclusie van het onderzoek: de beveiliging van de schil rond het model bepaalt de uitkomst meer dan het model zelf.
Voor Nederlandse ontwikkelteams die AI-assistenten gebruiken is de les praktisch: behandel alles wat een repository binnenkomt — óók afbeeldingen — als potentieel onbetrouwbare invoer, houd secrets uit je repository (gebruik een secrets manager in plaats van .env-bestanden), en blijf pull requests van buitenstaanders zelf beoordelen in plaats van dat volledig aan AI over te laten.
Bron: BleepingComputer
Blijf op de hoogte
Volg CybersecurityNieuws.nl via RSS en mis geen enkel beveiligingsnieuws. Zelf iets gezien dat wij moeten weten? Tip de redactie.