网络安全研究人员披露了一种名为 “规则文件后门” 的新型供应链攻击手段的细节，该手段会影响像 GitHub Copilot 和 Cursor 这类由人工智能驱动的代码编辑器，致使它们注入恶意代码。

Pillar Security 的联合创始人兼首席技术官 Ziv Karliner 在一份分享给  The Hacker News 的技术报告中表示：“这项技术使黑客能够通过向 Cursor 和 GitHub Copilot 使用的看似无害的配置文件中注入隐藏的恶意指令，悄然破坏人工智能生成的代码。”

“通过在面向模型的指令有效载荷中利用隐藏的 Unicode 字符和复杂的规避技术，威胁行为者能够操纵人工智能插入绕过常规代码审查的恶意代码。”

这种攻击手段值得关注，因为它能让恶意代码在各个项目中悄然传播，构成供应链风险。

通过人工智能代码编辑器植入恶意代码

攻击的关键在于人工智能代理用于指导自身行为的规则文件，这些文件帮助用户定义最佳编码实践和项目架构。

具体而言，攻击涉及在看似良性的规则文件中精心嵌入特定提示，使人工智能工具生成包含安全漏洞或后门的代码。换句话说，被 “下毒” 的规则会促使人工智能生成恶意代码。

这可以通过使用零宽度连接符、双向文本标记和其他不可见字符来隐藏恶意指令，并利用人工智能解读自然语言的能力，通过语义模式生成易受攻击的代码来实现，这些语义模式会诱使模型忽视道德和安全限制。

在 2024 年 2 月底和 3 月进行责任披露后，Cursor 和 GitHub 均表示，用户有责任审查和接受这些工具生成的建议。

Karliner 称：“‘规则文件后门’通过将人工智能本身作为攻击手段，构成了重大风险，实际上把开发者最信任的助手变成了不知情的帮凶，可能会通过受感染的软件影响数百万终端用户。”

“一旦一个被‘下毒’的规则文件被纳入项目存储库，它将影响团队成员未来所有的代码生成会话。此外，恶意指令往往在项目派生时依然存在，为供应链攻击创造了一种途径，可能会影响下游依赖项和终端用户。”