Ataques Ghostcommit: Riesgos de inyección visual en IA

La rápida integración de agentes de inteligencia artificial (IA) y herramientas de revisión automatizada en el ciclo de vida del desarrollo de software (SDLC) ha transformado radicalmente la forma en que los equipos de ingeniería escriben, optimizan y auditan el código. Sin embargo, esta adopción también ha abierto una compleja superficie de ataque que desafía los paradigmas tradicionales de ciberseguridad. En este nuevo panorama, los ataques ghostcommit representan una alarmante evolución en las amenazas a la cadena de suministro de software, demostrando que los modelos de lenguaje visuales (VLM) y los asistentes de desarrollo pueden ser manipulados de manera invisible para los humanos y los sistemas de seguridad convencionales.
Esta sofisticada técnica de explotación, divulgada por el grupo de investigación ASSET de la Universidad de Missouri-Kansas City (UMKC) bajo el liderazgo del profesor asociado Sudipta Chattopadhyay y el investigador Murali Ediga, revela una vulnerabilidad estructural en la forma en que interactúan las herramientas de revisión automatizada y los agentes de codificación basados en IA. A diferencia de las inyecciones de instrucciones tradicionales, que dependen exclusivamente de texto plano para desviar el comportamiento de un modelo, esta amenaza utiliza vectores de ataque multimodales, ocultando cargas útiles de inyección de
Etiquetas
Escrito por
TempMail Ninja
Experto en privacidad digital y seguridad en línea. Apasionado por crear herramientas que protejan la identidad de los usuarios en internet.


