網絡安全研究人員近日披露了一種名為“規則文件后門”（Rules File Backdoor）的新型供應鏈攻擊方式，該攻擊影響人工智能（AI）驅動的代碼編輯器，如GitHub Copilot和Cursor，導致這些工具注入惡意代碼。

Pillar安全公司的聯合創始人兼首席技術官Ziv Karliner在一份技術報告中表示：“這種攻擊技術允許黑客通過向Cursor和GitHub Copilot使用的看似無害的配置文件中注入隱藏的惡意指令，悄無聲息地破壞AI生成的代碼。”

Karliner補充道：“通過利用隱藏的Unicode字符和高級的規避技術，威脅行為者可以操控AI插入惡意代碼，繞過典型的代碼審查。”這一攻擊方式的獨特之處在于，它允許惡意代碼在項目中悄無聲息地傳播，從而構成供應鏈風險。

攻擊原理：利用規則文件操控AI行為

這種攻擊的核心在于AI代理所使用的規則文件，這些文件用于指導AI的行為，幫助用戶定義最佳編碼實踐和項目架構。具體來說，攻擊者通過在看似無害的規則文件中嵌入精心設計的提示，導致AI工具生成包含安全漏洞或后門的代碼。

換言之，被植入惡意規則的規則文件會誘使AI生成有害代碼。這可以通過使用零寬度連接符、雙向文本標記和其他不可見字符來隱藏惡意指令，并利用AI的自然語言處理能力通過語義模式生成有漏洞的代碼，從而繞過模型的道德和安全約束。

影響范圍：供應鏈風險的擴大

在2024年2月底和3月的負責任披露后，Cursor和GitHub均表示，用戶有責任審查并接受工具生成的建議。Karliner指出：“‘規則文件后門’通過將AI武器化為攻擊媒介，呈現出重大風險，這實際上將開發者最信任的助手變成了無意的幫兇，可能通過受感染的軟件影響數百萬最終用戶。”

他進一步解釋道：“一旦被植入惡意規則的規則文件被納入項目倉庫，它將影響所有團隊成員未來的代碼生成會話。此外，惡意指令通常會在項目分叉后仍然存在，從而為供應鏈攻擊提供了媒介，可能影響下游依賴項和最終用戶。”

這種新型攻擊方式再次提醒我們，人工智能工具的安全性需要得到更嚴格的審查和保護，以防止其被惡意利用。