傑愛得資訊 jumpAD
0800-000-964

【資安日報】3月27日,資安業者揭露能對GitHub Copilot用戶發動的AI供應鏈攻擊手法

取自:iThome
您好,我們是傑愛得資訊,歡迎來到我們的媒體聯播網
使用GitHub Copilot的開發人員要注意了!最近有資安業者公布一種新型態的供應鏈攻擊手法「Rules File Backdoor」,號稱可濫用規則檔案(Rules File)來影響AI助理產生的程式碼,呼籲開發人員運用這類工具一定要對產生的內容進行檢查,切勿掉以輕心


文/周峻佑 | 2025-03-27發表

【資安日報】3月27日,資安業者揭露能對GitHub Copilot用戶發動的AI供應鏈攻擊手法



鎖定開發人員的攻擊行動的日益頻繁,其中最常見的是利用NPM、PyPI套件,引誘開發人員下載,進而在受害者電腦部署惡意程式,然而最近有資安業者警告,他們發現一種針對AI工具GitHub Copilot的攻擊手法,能讓開發人員在不知情的情況下,產生有問題的程式碼。

這個問題的核心,在於攻擊者有機會操弄GitHub Copilot的規則檔案(Rules File),從而左右AI產出的程式碼。研究人員指出,這種手法開發人員難以察覺,因此他們呼籲必須採取相關措施來因應這類感脅。
下方繼續閱讀
曝光6,794/日 成本100/月
下文請點廣告解鎖
下文請點廣告解鎖
投放Google多媒體聯播網廣告(點此)arrow_downward,包含轉換代碼安裝

※ 如果看到投資類型廣告,請再三評估風險!

繼續閱讀keyboard_double_arrow_down


AI工具加速程式開發的工作流程,然而駭客若是從其中部分環節下手,就有機會發動供應鏈攻擊,左右開發的結果。

資安業者Pillar揭露名為Rules File Backdoor的新型態供應鏈攻擊手法,這種手法針對Cursor與GitHub Copilot兩款AI程式碼編輯器而來,攻擊者藉由看似無害的規則檔案(Rule File),注入隱藏的惡意指引,從而無聲無息地左右AI產生的程式碼。Pillar向Cursor與GitHub通報此事,Cursor表示經過調查,這種弱點並非源自他們;GitHub則認為使用者必須負責檢查GitHub Copilot提供的建議。

藉由在模型面向指令類型(model facing instruction)的酬載埋入Unicode字元,以及運用複雜的迴避偵測手法,能讓攻擊者操弄AI、趁機插入惡意程式碼,藉此繞過典型的程式碼審查作業,研究人員強調,這種手法難以被開發人員與資安團隊察覺,使得惡意程式碼能暗中透過專案進行複製。
點此投放Google多媒體聯播網廣告
※ 如果看到投資類型廣告,請再三評估風險!
post_add 資料來源:iThome
本文相關:
智能管家
智能喇叭
智能音箱
Assistant
Google語音助理
Google助理
Google 助理
智慧家庭
AI語音助理
語音助理
AI服飾助理
LaMDA
Bard
Open AI
ChatGPT
機器學習
Gemini
AI
AI
Vertex
LLM
Transformer
LaMDA
人工智
語言模型
ML
深度學習
gpt
GPT
Google Assistant
智能
智慧
谷歌音箱
谷歌助理
LM

傑愛得資訊領先業界

國際認證獎項報導
我們是業界少數同時具備數位行銷、系統開發、雲端服務的數位整合專業團隊
─ 2021.05

【2024年亞太區年度AI人工智慧廣告科技公司】封面人物
榮獲 MarTech Outlook 美國期刊評選

【2023年亞太區20大傑出AI人工智慧解決方案服務商】
榮獲 APAC CIO Outlook 美國矽谷期刊評選

【2024年值得關注的30大領先企業】
榮獲 CIO Bulletin 美國期刊評選

取得AI廣告追蹤技術國家發明專利

ISO/IEC 27001:2022 Lead Auditor 資安管理系統主導稽核員

bookmark_star 查看資歷
傑愛得資訊 顧問諮詢報價
公司/姓名
頭銜/稱謂
e-mail
LINE id
公司資本額
大約預算
聯繫語言
網路行銷
Google Ads
最高成效廣告
智慧廣告
探索廣告
APP 宣傳廣告
交給顧問評估規畫
Yahoo Ads
交給顧問評估規畫
Microsoft Ads
關鍵字廣告(原Yahoo 關鍵字)
網路系統
雲服務專案
諮詢/備註
※本公司與全城通律法律顧問合作,以上服務皆遵守法律規範。
jumpAD 吉傳媒 PFP Next Erene Design 懿坊飾品 三分糖手作中品牌故事
🤫 悄悄說: