«Невидимый тикет» или 0-click против код-агентов

Разбираем, как скрытая промпт-инъекция в описании задачи превращается в бэкдор в PR — без кликов и «хакерского кунг-фу». Ключевая боль в том, lock-файлы почти не рецензируют.

Как работает атака (киллчейн):
1. Подготовка цели. Есть репозиторий с подключённым код-агентом (автоматически берёт issues/комментарии как вход и умеет коммитить/создавать PR).
2. Инъекция в тикете. Атакующий открывает issue и прячет инструкции в «невидимом» месте Markdown/HTML (напр. внутри <picture>, скрытых тегов/комментариев/альт-текста). Для человека это просто оформление, для агента — «задание».
3. Повышенное доверие.
Агент трактует текст тикета как приоритетные указания (контекст выше политик) и выполняет их: «открой uv.lock/package-lock.json → замени источник/версию → закоммить».
4. Тихий PR. Создаётся pull request c длинным, машинным диффом lock-файла. Такие диффы редко читают внимательно — и правка проскакивает.
5. Эскалация при деплое. На CI ставятся уже «зафиксированные» злые зависимости/зеркала → код в проде компилируется/запускается с подменами. Это и есть 0-click! Никто ничего не «открывал», просто конвейер обработал issue.

Что смотреть в PR (дифф lock-файла):- "index": "https://pypi.org/simple"
+ "index": "https://<MALICIOUS_MIRROR_URL>/simple"   # смена источника

- "hash": "sha256:AAAAAAAA..."
+ "hash": "sha256:ZZZZZZZZ..."          # «вдруг» другой хеш

- "name": "requests"
+ "name": "reqeusts"                   # typosquatting

Любая из этих «мелочей» — красный флаг.

Короткая пьеса на эту тему
Действующие лица 👥
😈Злоумышленник инициатор атаки
🤖Мейнтейнер сопровождающий проекта-жертвы
🧑‍✈️GitHub Copilot ИИ-помощник которого обманывают

Шаги атаки 🚨
😈Злоумышленник создает «полезный» issue который выглядит как нормальное предложение улучшить проект например добавить поддержку языков
🧑‍✈️Внутри issue прячется скрытая команда для Copilot чтобы человек её не заметил текст маскируют внутри HTML-тега или делают невидимым с помощью пробелов и символов
🤖Мейнтейнер доверчиво назначает задачу Copilot
🧑‍✈️Copilot видит и явную задачу и скрытые инструкции и выполняет вредоносное действие например скачивает и запускает скрипт злоумышленника через curl ... | sh
🧑‍✈️Copilot создает pull request который выглядит безобидно но вносит бэкдор через зависимость или lock-файл
🤖Мейнтейнер одобряет PR после чего проект заражается

Как достигается скрытность 🕶
Инструкции невидимы для человека но понятны LLM
Злоумышленник ведет себя как обычный участник сообщества и маскирует атаку под рутинный запрос
Мейнтейнер полагается на Copilot и не проверяет глубоко что тот делает

Угадай атаку по эмодзи
😇📄🕵️‍♂️
🤖📝🔒🐍
✅💥🎭