O Diário do Analista
Vol. 2 (abr. 2026)  |  Pp. 216–219  |  ISSN 3086-6103

GhostCommit: prompt injection em imagens coloca agentes de IA como parceiros para exfiliação de dados sensíveis

A superfície de ataque dos agentes de IA deixou de estar restrita a prompts de texto, documentos e páginas web. A técnica denominada GhostCommit demonstra que uma imagem aparentemente inofensiva pode carregar instruções capazes de induzir agentes de desenvolvimento a expor segredos, transformando artefatos visuais em um vetor de prompt injection indireto.

O risco é particularmente relevante em fluxos de desenvolvimento assistidos por IA: agentes que leem issues, pull requests, documentação, commits e anexos podem combinar acesso a repositórios, ferramentas de terminal e credenciais de automação com conteúdo controlado por terceiros.


Imagens como instrução

Em um ataque de prompt injection, o adversário insere instruções maliciosas em um conteúdo que será processado pelo modelo. Em vez de explorar uma falha convencional no código, ele tenta fazer com que o modelo interprete conteúdo não confiável como uma instrução prioritária.

No caso do GhostCommit, a instrução não precisa estar visível como texto em uma descrição de pull request ou em um comentário. Ela pode estar ocultada em uma imagem, explorando a capacidade multimodal de agentes modernos de interpretar pixels, extrair texto e raciocinar sobre elementos visuais.

A consequência é importante: uma revisão que parece limitada a analisar uma alteração de código pode processar uma imagem anexada e incorporar uma instrução hostil ao seu contexto operacional.


Cadeia de ataque

Em um cenário plausível, o atacante contribui com um artefato aparentemente legítimo — como uma captura de tela, diagrama, mockup, arquivo de documentação ou imagem em um issue. O agente de IA processa o conteúdo visual durante a tarefa e encontra a instrução adversarial.

A cadeia pode seguir este fluxo:

  1. O atacante publica ou altera um conteúdo que será analisado pelo agente.

  2. Uma imagem contém uma instrução maliciosa, ofuscada ou apresentada de modo pouco perceptível para revisores humanos.

  3. O agente multimodal interpreta o conteúdo e mistura a instrução ao contexto da tarefa.

  4. A instrução tenta redirecionar o comportamento do agente, por exemplo, para localizar credenciais, arquivos de configuração, variáveis de ambiente ou tokens.

  5. Se o agente tiver permissões e canais de saída suficientes, os dados podem ser expostos em comentários, logs, alterações no repositório ou requisições externas.

Esse modelo é uma evolução dos ataques de injeção indireta: o adversário não interage diretamente com o agente, mas planta comandos em uma fonte de dados que ele consumirá. Pesquisas anteriores já mostraram que conteúdo externo pode ser usado para manipular agentes e conduzir ações não pretendidas.


Agentes são alvos valiosos

Um chatbot isolado pode responder incorretamente; um agente conectado a ferramentas pode agir. Essa diferença muda o impacto da injeção de prompt.

Agentes de codificação e automação costumam ter acesso, em graus variados, a:

  • Repositórios privados e histórico de commits

  • Arquivos de configuração e dotfiles

  • Variáveis de ambiente

  • Tokens de CI/CD

  • Credenciais de registries, nuvem e APIs

  • Ferramentas como terminal, Git, navegadores e integrações MCP

  • Capacidade de criar comentários, abrir pull requests ou modificar arquivos

O problema não é apenas a leitura de uma imagem. É a combinação entre entrada não confiável, interpretação multimodal, privilégios sensíveis e capacidade de executar ações.

Incidentes de cadeia de suprimentos mostram o valor operacional desses segredos: uma campanha anterior contra workflows do GitHub comprometeu milhares de credenciais, incluindo tokens de PyPI, npm, Docker Hub, GitHub, Cloudflare, AWS e bancos de dados.


Poc Disponível

O ponto central da PoC não é explorar uma vulnerabilidade tradicional de um produto específico. Ela evidencia um risco arquitetural: quando um agente interpreta imagens de fontes não confiáveis e, ao mesmo tempo, possui acesso a contexto sensível ou ferramentas com capacidade de ação, uma instrução visual pode tentar redirecionar seu comportamento.

Em um laboratório isolado, a PoC permite avaliar se o agente consegue distinguir entre o conteúdo visual legítimo e instruções que não pertencem à solicitação original. O cenário reproduz a classe de ataque de prompt injection indireto, na qual a entrada hostil é introduzida por um artefato que o agente consome — neste caso, uma imagem — e não diretamente pelo operador.


Mitigação

Caso haja suspeita de exfiltração, a resposta deve incluir revogação e rotação imediata dos segredos potencialmente acessíveis, revisão de logs do agente e do CI/CD, busca por alterações correlatas e validação de commits, artefatos e pacotes publicados durante a janela de exposição.


O que fica de aprendizado?

Em um cenário no qual agentes de IA passam a analisar código, documentos e imagens com acesso a ferramentas corporativas, o GhostCommit reforça que a confiança não pode estar no conteúdo recebido nem exclusivamente nas proteções do modelo. A mitigação efetiva exige controles arquiteturais: princípio do menor privilégio, isolamento de execução, credenciais de curta duração, bloqueio de canais de exfiltração e aprovação humana para ações sensíveis. Tratar anexos visuais como entradas potencialmente hostis é essencial para impedir que uma simples imagem se transforme no ponto inicial de comprometimento de segredos, pipelines de CI/CD ou da cadeia de suprimentos de software.


Referências

Categorias: Alerta, Ataques, Engenharia Social, Ghost, Github, Injection, Malware, Phishing, PoC, PyPI, Python, Supply Chain, Vulnerabilidade.