Маленький пінгвіновий нотатник | AI-агент допомагає вам працювати, а також може допомогти вам розкрити секрет 😮

Останнім часом сталася одна подія: хтось дозволив AI-агенту автоматично створювати Issue на GitHub, і в результаті у створеному ним тексті сховалася «магічна закляття», комп’ютер прийняв її за команду і безпосередньо вивів усі паролі та ключі, збережені у системі, і вставив їх у публічну сторінку
Token Telegram, API Key — все опубліковано в мережі
AI «неуважно» активував цю команду сам, без втручання хакера. Він просто писав текст, але ця частина тексту для комп’ютера була командою
Ось новий ризик епохи AI-агентів: якщо ви надаєте їм дозволи для виконання завдань, вони отримують можливість торкатися до вашої системи. Якщо контент, створений AI, виконується без попередньої перевірки, можуть статися непередбачені ситуації
Чим більші можливості, тим більша ймовірність атаки. Використання AI-агента дуже зручно, але пам’ятайте перевіряти його дозволи, щоб не допустити, щоб помічник став розкривачем секретів 👀