Los investigadores de seguridad cibernética han revelado detalles de un nuevo ataque de reglas de vector de sujeción de suministro de la puerta trasera que afecta a los editores de código de inteligencia fabricado (IA) como el copiloto y el cursor de GitHub, lo que hace que inyecten código receloso.
“Esta técnica permite a los piratas informáticos comprometer silenciosamente el código generado por la IA al inyectar instrucciones maliciosas ocultas en archivos de configuración aparentemente inocentes utilizados por Cursor y GitHub Copilot”, dijo el cofundador y CTO Ziv Karliner de Pillar Security en un noticia técnico compartido con Hacker News.
“Al explotar los caracteres unicodos ocultos y las técnicas de distracción sofisticadas en el maniquí que enfrenta la carga útil de instrucciones, los actores de amenaza pueden manipular la IA para insertar código receloso que pase por stop las revisiones de código típicas”.
El vector de ataque es trascendente por el hecho de que permite que el código receloso se propague en silencio entre los proyectos, lo que plantea un aventura de sujeción de suministro.
El quid del ataque depende de los archivos de reglas que utilizan los agentes de IA para manejar su comportamiento, ayudando a los usuarios a puntualizar las mejores prácticas de codificación y la construcción de proyectos.
Específicamente, implica integrar indicaciones cuidadosamente elaboradas adentro de archivos de reglas aparentemente benignos, lo que hace que la útil AI genere código que contenga vulnerabilidades de seguridad o puertas traseras. En otras palabras, las reglas envenenadas empujan a la IA para producir un código nefasto.
Esto se puede conseguir mediante el uso de carpinistas de orgulloso cero, marcadores de texto bidireccionales y otros caracteres invisibles para ocultar instrucciones maliciosas y explotar la capacidad de la IA para interpretar el habla natural para crear un código pusilánime a través de patrones semánticos que engañan al maniquí en restricciones éticas y de seguridad anulantes.
A posteriori de la divulgación responsable a fines de febrero y marzo de 2024, tanto Cursor como Gihub han público que los usuarios son responsables de revisar y aceptar sugerencias generadas por las herramientas.
“‘Reglas File Backdoor’ representa un aventura significativo al armarse la IA en sí como un vector de ataque, convirtiendo efectivamente al asistente más confiable del desarrollador en un cómplice involuntario, lo que potencialmente afecta a millones de usuarios finales a través de un software comprometido”, dijo Karliner.
“Una vez que se incorpora un archivo de reglas contaminado en un repositorio de esquema, afecta todas las sesiones futuras de gestación de código por parte de los miembros del equipo. Por otra parte, las instrucciones maliciosas a menudo sobreviven al cruce del esquema, creando un vector para los ataques de la sujeción de suministro que puede afectar las dependencias posteriores y los usuarios finales”.
