網(wǎng)絡(luò)安全研究人員近日披露了一種名為“規(guī)則文件后門”（Rules File Backdoor）的新型供應(yīng)鏈攻擊方式，該攻擊影響人工智能（AI）驅(qū)動的代碼編輯器，如GitHub Copilot和Cursor，導(dǎo)致這些工具注入惡意代碼。

Pillar安全公司的聯(lián)合創(chuàng)始人兼首席技術(shù)官Ziv Karliner在一份技術(shù)報告中表示：“這種攻擊技術(shù)允許黑客通過向Cursor和GitHub Copilot使用的看似無害的配置文件中注入隱藏的惡意指令，悄無聲息地破壞AI生成的代碼?！?/p>

Karliner補(bǔ)充道：“通過利用隱藏的Unicode字符和高級的規(guī)避技術(shù)，威脅行為者可以操控AI插入惡意代碼，繞過典型的代碼審查?！边@一攻擊方式的獨(dú)特之處在于，它允許惡意代碼在項目中悄無聲息地傳播，從而構(gòu)成供應(yīng)鏈風(fēng)險。

攻擊原理：利用規(guī)則文件操控AI行為

這種攻擊的核心在于AI代理所使用的規(guī)則文件，這些文件用于指導(dǎo)AI的行為，幫助用戶定義最佳編碼實踐和項目架構(gòu)。具體來說，攻擊者通過在看似無害的規(guī)則文件中嵌入精心設(shè)計的提示，導(dǎo)致AI工具生成包含安全漏洞或后門的代碼。

換言之，被植入惡意規(guī)則的規(guī)則文件會誘使AI生成有害代碼。這可以通過使用零寬度連接符、雙向文本標(biāo)記和其他不可見字符來隱藏惡意指令，并利用AI的自然語言處理能力通過語義模式生成有漏洞的代碼，從而繞過模型的道德和安全約束。

影響范圍：供應(yīng)鏈風(fēng)險的擴(kuò)大

在2024年2月底和3月的負(fù)責(zé)任披露后，Cursor和GitHub均表示，用戶有責(zé)任審查并接受工具生成的建議。Karliner指出：“‘規(guī)則文件后門’通過將AI武器化為攻擊媒介，呈現(xiàn)出重大風(fēng)險，這實際上將開發(fā)者最信任的助手變成了無意的幫兇，可能通過受感染的軟件影響數(shù)百萬最終用戶。”

他進(jìn)一步解釋道：“一旦被植入惡意規(guī)則的規(guī)則文件被納入項目倉庫，它將影響所有團(tuán)隊成員未來的代碼生成會話。此外，惡意指令通常會在項目分叉后仍然存在，從而為供應(yīng)鏈攻擊提供了媒介，可能影響下游依賴項和最終用戶?！?/p>

這種新型攻擊方式再次提醒我們，人工智能工具的安全性需要得到更嚴(yán)格的審查和保護(hù)，以防止其被惡意利用。