Los investigadores de seguridad cibernética han revelado detalles de un nuevo ataque de reglas de vector de cadena de suministro de la puerta trasera que afecta a los editores de código de inteligencia artificial (IA) como el copiloto y el cursor de GitHub, lo que hace que inyecten código malicioso.
«Esta técnica permite a los piratas informáticos comprometer silenciosamente el código generado por la IA al inyectar instrucciones maliciosas ocultas en archivos de configuración aparentemente inocentes utilizados por Cursor y GitHub Copilot», dijo el cofundador y CTO Ziv Karliner de Pillar Security en un informe técnico compartido con Hacker News.
«Al explotar los caracteres unicodos ocultos y las técnicas de evasión sofisticadas en el modelo que enfrenta la carga útil de instrucciones, los actores de amenaza pueden manipular la IA para insertar código malicioso que pase por alto las revisiones de código típicas».
El vector de ataque es notable por el hecho de que permite que el código malicioso se propague en silencio entre los proyectos, lo que plantea un riesgo de cadena de suministro.
El quid del ataque depende de los archivos de reglas que utilizan los agentes de IA para guiar su comportamiento, ayudando a los usuarios a definir las mejores prácticas de codificación y la arquitectura de proyectos.
Específicamente, implica integrar indicaciones cuidadosamente elaboradas dentro de archivos de reglas aparentemente benignos, lo que hace que la herramienta AI genere código que contenga vulnerabilidades de seguridad o puertas traseras. En otras palabras, las reglas envenenadas empujan a la IA para producir un código nefasto.
Esto se puede lograr mediante el uso de carpinistas de ancho cero, marcadores de texto bidireccionales y otros caracteres invisibles para ocultar instrucciones maliciosas y explotar la capacidad de la IA para interpretar el lenguaje natural para generar un código vulnerable a través de patrones semánticos que engañan al modelo en restricciones éticas y de seguridad anulantes.
Después de la divulgación responsable a fines de febrero y marzo de 2024, tanto Cursor como Gihub han declarado que los usuarios son responsables de revisar y aceptar sugerencias generadas por las herramientas.
«‘Reglas File Backdoor’ representa un riesgo significativo al armarse la IA en sí como un vector de ataque, convirtiendo efectivamente al asistente más confiable del desarrollador en un cómplice involuntario, lo que potencialmente afecta a millones de usuarios finales a través de un software comprometido», dijo Karliner.
«Una vez que se incorpora un archivo de reglas envenenado en un repositorio de proyecto, afecta todas las sesiones futuras de generación de código por parte de los miembros del equipo. Además, las instrucciones maliciosas a menudo sobreviven al bifurcación del proyecto, creando un vector para los ataques de la cadena de suministro que puede afectar las dependencias posteriores y los usuarios finales».