'Ghostcommit' menyembunyikan injeksi cepat dalam gambar untuk mengelabui agen AI, mencuri rahasia
bleepingcomputer. com 12 Juli 2026 PT Shazfatech Digital Solution

'Ghostcommit' menyembunyikan injeksi cepat dalam gambar untuk mengelabui agen AI, mencuri rahasia

Para peneliti membingkai serangan tersebut terhadap kesenjangan tinjauan yang sudah lebar: survei terhadap 6.480 permintaan penarikan di 300 repositori publik paling aktif selama 90 hari terakhir menemukan 73% PR yang…

2 menit baca Security 1 kali dibaca

Sumber: bleepingcomputer. com

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan keamanan siber. Para peneliti telah membuat permintaan tarik yang mencuri rahasia repositori dengan menyembunyikan instruksi jahat di dalam PNG yang tidak pernah dibuka oleh peninjau kode AI.

Para peneliti membingkai serangan tersebut terhadap kesenjangan tinjauan yang sudah lebar: survei terhadap 6.480 permintaan penarikan di 300 repositori publik paling aktif selama 90 hari terakhir menemukan 73% PR yang digabungkan mencapai cabang default tanpa tinjauan manusia yang substantif dan tanpa tinjauan bot sama sekali.

Para peneliti bahkan mengisi PNG dengan kata-kata "injeksi cepat berbahaya" dan perintah eksplisit untuk membaca. env, dan masih lolos.

Menyembunyikan instruksi di dalam gambar agar sistem AI dapat bertindak bukanlah hal baru.

Pada tahun 2025, peneliti Trail of Bits Kikimora Morozova dan Suha Sabi Hussain mendemonstrasikan versi yang lebih cerdas, yaitu gambar yang terlihat bersih pada resolusi penuh tetapi berubah menjadi teks injeksi cepat yang dapat dibaca setelah pipeline downscaling sistem AI mengambil sampelnya ulang, sebuah teknik yang menipu alat seperti Gemini CLI.

Tim keamanan mencatat 54% serangan yang berhasil dan hanya memberikan peringatan 14%. Sisanya bergerak melalui lingkungan Anda tanpa terlihat.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari bleepingcomputer. com