文章总结: Ghostcommit供应链攻击利用AIAgent的认知盲区,将恶意指令隐藏在PNG图片中,通过AGENTS.md文件引导Agent执行,绕过传统代码审查和SecretScanner。攻击不依赖传统漏洞,而是攻击AI的工作流和Prompt。研究显示不同Agent框架对相同模型的安全表现差异显著,企业需加强多模态安全扫描、Prompt注入检测、Agent权限控制和输出安全审计,以应对AI供应链安全新挑战。 综合评分: 85 文章分类: AI安全,供应链安全,漏洞分析
Ghostcommit:Agent正在成为供应链攻击的新入口
原创
承影 承影
兰花豆说网络安全
2026年7月13日 23:27 湖北
在小说阅读器读本章
去阅读
如果说过去几年,供应链攻击主要围绕代码、依赖库和软件包展开,那么随着Agent的普及,攻击者已经开始瞄准新的目标——AI自身的工作流。
最近,ASSET研究组织公布了一项名为Ghostcommit供应链攻击的研究,让整个AI安全行业再次敲响警钟。
它没有利用传统漏洞,没有攻击操作系统,也没有突破权限控制,而是利用Agent的”理解能力”,完成了一次极具隐蔽性的供应链攻击。
更准确地说,它攻击的不是程序,而是AI的认知过程。
从攻击代码,演变为攻击Prompt
过去的软件供应链攻击,通常会在代码中植入恶意逻辑,例如后门、恶意依赖或混淆代码。
Ghostcommit完全不同。
攻击者把真正的恶意指令藏进了一张PNG图片,把一份正常的 AGENTS.md作为”导航”,引导Agent主动读取图片内容。
对于开发者而言,这只是一次普通的代码提交;对于传统代码扫描器而言,图片只是一个二进制文件;对于多数工具而言,图片内容根本不会被解析。
于是,攻击指令在无人察觉的情况下进入代码仓库,并在未来某个开发任务中被Agent自动执行。
这意味着,攻击的触发点已经从代码合并阶段,延迟到了Agent的日常工作阶段。
Ghostcommit 暴露了Agent的两个安全盲区
Ghostcommit的成功,并不是因为攻击技术复杂,而是因为它精准利用了当前AI开发工具链中的两个认知盲区。
第一个盲区,是多模态内容缺乏统一安全审查。
越来越多的开发规范开始通过Markdown、图片、架构图等形式描述开发约束,而很多Agent已经具备OCR和图片理解能力。但大量代码审查工具仍然只分析文本Diff,对图片内容”视而不见”。
第二个盲区,是输出内容缺乏语义级安全检测。
攻击者没有直接输出API Key,而是将所有敏感信息转换成ASCII数字数组。对于传统Secret Scanner来说,这些只是普通整数,不符合任何密钥特征,自然也不会触发告警。
这说明,未来的数据泄露不一定表现为明文字符串,更可能以编码、向量、图片甚至模型上下文等形式存在。
真正的问题,不是模型,而是Agent框架
研究中最值得关注的一点是,同样的大模型,在不同Agent框架下表现截然不同。
例如Claude Sonnet在Cursor中会执行恶意指令,而在Claude Code中则始终拒绝执行。
这意味着,AI安全能力已经不仅仅取决于模型本身,而是取决于Agent如何组织上下文、加载规则、调用工具以及执行权限控制。
未来企业评估Agent时,不能只关注模型能力,更应重点考察以下几个方面:
- 是否支持多模态安全扫描(图片、PDF、Markdown 等)。
- 是否对AGENTS.md、CLAUDE.md等约定文件进行可信验证。
- 是否具备Prompt Injection检测能力。
- 是否限制AI对
.env、SSH Key、Token等敏感文件的访问。 - 是否建立输出内容的二次安全审计机制。
AI 供应链安全进入新阶段
Ghostcommit并不是一次孤立的攻击,它代表着AI供应链攻击的新方向。
未来,攻击者可能把恶意Prompt隐藏在图片、PDF、Office文档、音频,甚至视频中,再借助Agent的多模态能力完成自动执行。
与此同时,敏感数据也可能不再以字符串形式泄露,而是通过数字编码、向量表示、Embedding或其他隐蔽方式绕过传统检测工具。
对于企业而言,安全防护的重点也需要从”保护代码”升级到”保护 AI的推理链路和执行过程”。
Agent不再只是开发效率工具,它已经成为软件供应链的重要组成部分,也将成为未来网络攻防的新战场。
写在最后
Ghostcommit给行业释放了一个明确信号:Agent正在重塑软件开发流程,也正在重塑供应链攻击方式。
过去,我们防的是恶意代码;今天,我们需要防的是恶意 Prompt、恶意上下文以及恶意工作流。
未来企业构建AI平台时,应将Prompt安全、多模态内容审查、Agent权限控制、上下文可信验证以及输出安全审计纳入统一的安全体系。只有这样,才能真正发挥Agent的生产力价值,而不是让它成为新的供应链风险入口。
END
推荐阅读
AI安全,正在成为网络安全行业未来五年最大的增量市场
2026-07-12
Claude攻破的不是票务系统,而是网络安全行业的一个旧时代
2026-07-04
美国解除对claude Fable 5 与 Mythos 5 的出口管制
2026-07-02
新型 Claude Code 攻击可让攻击者完全控制开发者设备
2026-07-01
Kali Linux 2026.2 发布,新增 9 个工具并优化虚拟机启动设置
2026-06-30
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:兰花豆说网络安全 承影 承影《Ghostcommit:Agent正在成为供应链攻击的新入口》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论