Pesquisadores de cibersegurança revelaram detalhes de um novo vetor de ataque na cadeia de suprimentos denominado "Rules File Backdoor", que afeta editores de código potencializados por inteligência artificial (AI), como o GitHub Copilot e o Cursor, fazendo com que esses injetem código malicioso.
"Essa técnica permite que hackers comprometam silenciosamente o código gerado por AI, injetando instruções maliciosas ocultas em arquivos de configuração aparentemente inocentes usados pelo Cursor e GitHub Copilot," afirmou Ziv Karliner, Co-Fundador e CTO da Pillar Security, em um relatório técnico compartilhado.
Explorando caracteres unicode ocultos e técnicas sofisticadas de evasão no payload de instrução voltada para o modelo, os atores de ameaça podem manipular a AI para inserir código malicioso que passa por revisões de código típicas.
O vetor de ataque é notável pelo fato de permitir que o código malicioso se propague silenciosamente por projetos, representando um risco para a cadeia de suprimentos.
O cerne do ataque se baseia nos arquivos de regras que são usados pelos agentes de AI para guiar seu comportamento, ajudando os usuários a definir as melhores práticas de programação e a arquitetura do projeto.
Especificamente, envolve o embutimento de prompts cuidadosamente elaborados em arquivos de regras aparentemente benignos, fazendo com que a ferramenta de AI gere código contendo vulnerabilidades de segurança ou backdoors.
Em outras palavras, as regras envenenadas induzem a AI a produzir código malévolo.
Isso pode ser realizado usando zero-width joiners, marcadores de texto bidirecional e outros caracteres invisíveis para ocultar instruções maliciosas e explorando a capacidade da AI de interpretar linguagem natural para gerar código vulnerável através de padrões semânticos que enganam o modelo, fazendo-o deixar de lado restrições éticas e de segurança.
Após a divulgação responsável no final de fevereiro e março de 2024, tanto o Cursor quanto o GitHub afirmaram que os usuários são responsáveis por revisar e aceitar as sugestões geradas pelas ferramentas.
Rules File Backdoor' representa um risco significativo ao armar a própria AI como um vetor de ataque, transformando efetivamente o assistente mais confiável do desenvolvedor em um cúmplice involuntário, potencialmente afetando milhões de usuários finais através de software comprometido, disse Karliner.
Uma vez que um arquivo de regras envenenado é incorporado a um repositório de projeto, ele afeta todas as sessões futuras de geração de código por membros da equipe.
Além disso, as instruções maliciosas muitas vezes sobrevivem à bifurcação do projeto, criando um vetor para ataques na cadeia de suprimentos que podem afetar dependências downstream e usuários finais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...