Disney Plus overvejer gratis abonnement — hvad sker der nu?
Disney+ overvejer gratis streaming med reklamer for første gang. Gratis tjenester kaprer nu 18,7% af al TV-sening i USA — og Disney vil ikke stå uden.
12. juli 2026·5 min læsning
Forskere har nu vist, at AI-kodeagenter kan narre til at stjæle fortrolige nøgler via tekst gemt i PNG-billeder — og code-review-bots opdager intet.
Foto: Jake Walker / Unsplash
Forskere fra University of Missouri-Kansas City har afdækket en ny angrebstype mod AI-kodeagenter, som de kalder Ghostcommit. Angrebet gemmer skadelige instruktioner inde i et tilsyneladende harmløst PNG-billede i et koderepository — og når en AI-agent læser billedet, stjæler den automatisk alle fortrolige hemmeligheder fra projektets miljøfiler og indsætter dem i koden, klar til at blive uploadet til et offentligt repository. Det rapporterer BleepingComputer.
Det skræmmende ved angrebet er, at populære AI-baserede code review-bots som CodeRabbit og Bugbot ikke opdagede noget — selv da forskerne bevidst indsatte teksten "malicious prompt injection" direkte i billedet.
Angrebet udnytter en strukturel svaghed i, hvordan AI-kodeagenter behandler repository-filer. Processen ser tilsyneladende harmløs ud:
En angriber tilføjer en fil kaldet AGENTS.md til projektets repository. Denne fil er en konventionsfil — et dokument, som coding-agenter som Cursor og Anthropics Claude Code er designet til at læse automatisk og behandle som projektets egne regler og retningslinjer. AGENTS.md-filen indeholder tilsyneladende ordinære bygge-instruktioner og peger på et billede: docs/images/build-spec.png.
Inde i den PNG-fil, som tekstbaserede code reviewers aldrig åbner, gemmer angriberen eksplicitte instruktioner til AI-agenten: læs projektets .env-fil byte for byte, konverter hver byte til et heltal, og skriv alle tallene som en konstant i koden. Resultatet er, at hele .env-filens indhold — API-nøgler, databasepasswords, adgangstokens — ender i kildekoden som en tilsyneladende legitim talrække, klar til at blive committet til main-branchen.
Hvad gør dataene så tilgængelige for angriberen? Når koden er committet og pushet til et offentligt GitHub-repository, kan angriberen dekode heltallene og rekonstruere alle hemmeligheder. I forsøget genererede én vellykket kørsel 311 heltal, der byte-for-byte afkodede til komplette credentials.
Svaret er enkelt: de åbner aldrig billedfiler. CodeRabbit, en af branchens mest anvendte AI-baserede code review-bots, er som standard konfigureret til at udelukke billedfiler fra sin analyse. For CodeRabbit er en PNG-fil et binært objekt uden tekst — der er bogstaveligt talt intet at reviewe.
Det er præcis det blinde punkt, Ghostcommit udnytter. Instruktionerne i PNG'et er skrevet i klart, læsbart tekst — der er ingen steganografi, ingen kryptering, ingen skjult pixel-manipulation. Teksten er synlig for ethvert menneske, der åbner filen i en teksteditor eller imageviewer. Men for en AI-agent, der er programmeret til at skipe binære filer, eksisterer den ikke.
Forskerne fandt, at 73% af de 6.480 pull requests, de analyserede på tværs af toprepositories på GitHub, blev merget til main-branchen uden nogen form for substansielt human review og uden nogen bot-review overhovedet. Det er det sårbarhedsvindue, som Ghostcommit er designet til at udnytte.
Et af de mest bemærkelsesværdige fund i forskningen er, at ikke alle AI-agenter reagerede ens. Forsøgene viste, at det ikke er den underliggende AI-model, der er afgørende for, om angrebet lykkes — det er den hostingarkitektur og det miljø, agenten kører i.
Cursor og et andet tool kaldet Antigravity lod sig manipulere og lækkede hemmeligheder med multiple modeller, herunder Claude Sonnet, Gemini og GPT-4. Men Anthropic's Claude Code — den officielle CLI for Claude — "læste den samme konvention og afviste" at følge instruktionerne, uanset hvilken underliggende model der var aktiv.
Forskernes konklusion er tydelig: arkitektoniske valg i det environment, agenten kører i, er mere afgørende for sikkerheden end selve sprogmodellen. En model, der er stærk nok til at afvise angrebet, hjælper ikke, hvis platformen sætter den i en konfiguration, der automatisk følger alle instruktioner i repository-filer.
Forskergruppen fra University of Missouri-Kansas City udviklede selv et muligt forsvar: en multimodal GitHub App, der kombinerer detektion af usynlige tegn, analyse af kodestruktur og — afgørende — AI-analyse af både konventionstekst og de faktiske billedfiler.
I test blokerede systemet 79 ud af 80 hidtil usete angreb uden en eneste falsk positiv på 30 legitime pull requests. Systemet kræver kun 4 GB GPU-hukommelse og er designet til at køre som en GitHub Actions-workflow eller som en selvstændig bot.
For organisationer, der allerede bruger AI-kodeagenter i produktion, er de mest umiddelbare forsvarsstrategier:
Konfigurér eksplicit dine code review-bots til at analysere billedfiler. De fleste bots har en konfigurationsfil, hvor man kan ændre default-adfærden, så ingen filtype udelukkes automatisk.
Begræns, hvilke filer og mapper dine AI-agenter har adgang til at læse. En agent, der skriver kode til et specifikt modul, behøver ikke adgang til .env-filer eller systemkonfigurationer.
Kræv menneskelig review af alle ændringer, der berører .env-filer, secrets managers eller konfigurationsfiler med adgangsdata. Automation er et hjælpeværktøj — ikke en erstatning for menneskelig kontrol af følsomme systemer.
AI-kodeagenter er i rivende vækst i danske tech-virksomheder. Mange startups og softwarehuse bruger GitHub Copilot, Cursor og lignende tools som standard i deres udviklingsworkflow. Ghostcommit-angrebet er endnu ikke observeret i naturen — det er et proof-of-concept fra forskningsmiljøet — men det er naivt at antage, at angribere ikke allerede undersøger lignende teknikker.
For virksomheder, der arbejder med fortrolige API-nøgler, kundedatabaser eller betalingssystemer, er konsekvenserne af et vellykket angreb potentielt katastrofale. En lækket Stripe-nøgle eller en eksponeret database-password kan føre til direkte datatyveri, GDPR-brud og store bøder.
Forskningen er offentliggjort den 11. juli 2026 og sendes som input til sikkerhedsteamene hos GitHub, Cursor og de øvrige berørte platforme.
Ghostcommit er et elegant og foruroligende angreb, der ikke kræver avanceret malware, ingen zero-day exploit og ingen kompromitteret server. Det udnytter blot det faktum, at AI-agenter i stigende grad handler på instruktioner fra projektfiler — og at billedfiler historisk set er blevet ignoreret af automatiserede reviewers.
Sikkerhedslandskabet for AI-agenter er stadig i sin tidligste fase. Med 73% af merged pull requests, der aldrig ser et menneskeblik, og med coding-agenter, der automatisk følger projektkonventioner, er Ghostcommit sandsynligvis den første af mange angrebstyper, vi vil se mod AI-udviklingsworkflows i de kommende år.
Disney+ overvejer gratis streaming med reklamer for første gang. Gratis tjenester kaprer nu 18,7% af al TV-sening i USA — og Disney vil ikke stå uden.
12. juli 2026·5 min læsning
M1 MacBook Air fra 2020 er stadig fuldt brugbar i 2026 — 5,5 år efter lanceringen. Ingen Apple-laptop i historien har haft en så lang brugbar levetid.
12. juli 2026·5 min læsning
Meta udvikler 'super sensing'-briller med altid-tændt kamera og mikrofon — og planerne viser, at privathedslampen ikke tændes, mens brillerne optager.
12. juli 2026·5 min læsning