新型攻击!黑客利用AI代码编辑器规则文件后门注入恶意代码

admin
admin
admin
136314
文章
111
评论
2025年3月20日21:30:11评论0 views字数 568阅读1分53秒阅读模式
近日,网络安全研究人员披露了一种名为“规则文件后门”(Rules File Backdoor)的新型供应链攻击方式,该攻击影响了GitHub Copilot和Cursor等AI代码编辑器,使它们能够注入恶意代码。
研究人员表示,这种攻击通过在规则文件中嵌入精心设计的提示,利用不可见的Unicode字符和复杂的规避技术,如零宽连接符和双向文本标记,来隐藏恶意指令。这些规则文件本用于指导AI行为,帮助用户定义编码最佳实践和项目架构,但被篡改后,会引导AI生成包含安全漏洞或后门的代码,从而绕过常规代码审查。
攻击的危险性在于,一旦被篡改的规则文件融入项目仓库,将影响团队成员未来所有代码生成会话,且恶意指令在项目分叉时也能存活,形成供应链攻击,波及下游依赖和终端用户。
尽管Cursor和GitHub在2月和3月被告知后称用户需自行审查建议,但风险依然严峻。这种攻击方式仍给整个开发社区敲响了警钟,它将AI本身武器化为攻击载体,让开发者最信任的助手在不知不觉中成为帮凶,其潜在影响范围可能波及数百万最终用户。开发者需提高警惕,仔细审查AI生成代码,尤其是来自不可信规则文件的部分,平台也应强化安全机制,防止此类攻击。
资讯来源:thehackernews
 

原文始发于微信公众号(看雪学苑):新型攻击!黑客利用AI代码编辑器“规则文件后门”注入恶意代码

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月20日21:30:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型攻击!黑客利用AI代码编辑器规则文件后门注入恶意代码https://cn-sec.com/archives/3864536.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息