OPENDATASCIENCE Telegram 2559
tgoop.com » United States » Data Science by ODS.ai 🦜 » Telegram web » Post 2559
Data Science by ODS.ai 🦜
Forwarded from DevSecOps Talks
Rules Files Backdoor

Всем привет!

Еще один пример атаки на цепочку поставки. На этот раз главным действующим лицом стали AI-агенты, которые используются для генерации кода.

Выглядит это следующим образом:
🍭 Злоумышленник создает собственный Rule File
«Делится» им с сообществом
🍭 Разработчики используют этот Rule File (который кажется весьма безобидным)
🍭 «Что-то» начинает добавляться в генерируемый код (зависит от того, что было в Rule File)

Для того, чтобы создаваемые Rule File выглядели безобидными в них добавляют обычное описание (например, «follow HTML5 best practices»). Однако, рядом, используя разные манипуляции, помещают «дополнительные инструкции», которые могут быть не видны.

Может показаться, что «надо быть внимательным и все будет хорошо». Все так, но лучше, помимо внимания, еще и проверять то, что генерирует код и код, который был сгенерирован.

Подробности (примеры, описание, анализ поверхности атаки, способы противодействия) можно найти в статье от Pillar Security.
www.pillar.security
New Vulnerability in GitHub Copilot and Cursor: How Hackers Can Weaponize Code Agents
3🔥1🤔1
www.tgoop.com/opendatascience/2559
2.15K views



tgoop.com/opendatascience/2559
Create:
Last Update:

Rules Files Backdoor

Всем привет!

Еще один пример атаки на цепочку поставки. На этот раз главным действующим лицом стали AI-агенты, которые используются для генерации кода.

Выглядит это следующим образом:
🍭 Злоумышленник создает собственный Rule File
«Делится» им с сообществом
🍭 Разработчики используют этот Rule File (который кажется весьма безобидным)
🍭 «Что-то» начинает добавляться в генерируемый код (зависит от того, что было в Rule File)

Для того, чтобы создаваемые Rule File выглядели безобидными в них добавляют обычное описание (например, «follow HTML5 best practices»). Однако, рядом, используя разные манипуляции, помещают «дополнительные инструкции», которые могут быть не видны.

Может показаться, что «надо быть внимательным и все будет хорошо». Все так, но лучше, помимо внимания, еще и проверять то, что генерирует код и код, который был сгенерирован.

Подробности (примеры, описание, анализ поверхности атаки, способы противодействия) можно найти в статье от Pillar Security.

BY Data Science by ODS.ai 🦜




Share with your friend now:
tgoop.com/opendatascience/2559

View MORE
Open in Telegram


Telegram News

Date: |

The Standard Channel Telegram channels fall into two types: Polls How to Create a Private or Public Channel on Telegram? "Doxxing content is forbidden on Telegram and our moderators routinely remove such content from around the world," said a spokesman for the messaging app, Remi Vaughn.
from us


Rules Files Backdoor

 Data Science by ODS.ai 🦜 TG
web: 2559
Data Science by ODS.ai 🦜.Telegram web
Data Science by ODS.ai 🦜 Telegram TG Channel
Telegram Updated:
Telegram Data Science by ODS.ai 🦜
FROM American