程式碼生成模型攻擊
進階4 分鐘閱讀更新於 2026-03-13
AI 驅動程式碼生成的安全風險概覽:Copilot、Cursor、程式碼補全模型、IDE 整合攻擊面以及程式碼特定的利用技術。
AI 驅動的程式碼生成工具——GitHub Copilot、Cursor、Codeium、Amazon CodeWhisperer 等——已深度整合到開發者工作流程中。這些工具引入獨特的攻擊面,其中模型的輸出不僅是文字,而是 可執行程式碼,會在生產系統中執行。安全意涵遠超出傳統 LLM 疑慮。
攻擊面地圖
┌─────────────────────────────────────────────────────────┐
│ 開發者工作流程 │
│ │
│ ┌─────────────────────────────────────────────────┐ │
│ │ IDE 環境 │ │
│ │ ┌──────────┐ ┌──────────┐ ┌─────────────┐ │ │
│ │ │ 編輯器 │ │ 終端機 │ │ 檔案系統 │ │ │
│ │ │ 脈絡 │ │ 脈絡 │ │ 脈絡 │ │ │
│ │ └─────┬────┘ └─────┬────┘ └──────┬──────┘ │ │
│ │ └──────────────┼──────────────┘ │ │
│ │ ▼ │ │
│ │ ┌──────────────────────────────────────────┐ │ │
│ │ │ 脈絡聚合 │ │ │
│ │ │ • 當前檔案內容 │ │ │
│ │ │ • 開啟分頁/匯入檔案 │ │ │
│ │ │ • 儲存庫結構 │ │ │
│ │ │ • 註解與 docstring │◄─┤────┤ 攻擊向量
│ │ │ • Git 歷史 │ │ │
│ │ │ • 套件相依 │ │ │
│ │ └────────────────┬─────────────────────────┘ │ │
│ │ ▼ │ │
│ │ ┌──────────────────────────────────────────┐ │ │
│ │ │ 程式碼生成模型 │ │ │
│ │ │ (Copilot / Cursor / CodeWhisperer) │ │ │
│ │ └────────────────┬─────────────────────────┘ │ │
│ │ ▼ │ │
│ │ ┌──────────────────────────────────────────┐ │ │
│ │ │ 程式碼建議 │ │ │
│ │ │ • 行內補全 │ │ │
│ │ │ • 基於聊天的生成 │ │ │
│ │ │ • 多檔案編輯 │ │ │
│ │ └──────────────────────────────────────────┘ │ │
│ └─────────────────────────────────────────────────┘ │
│ ▼ │
│ ┌──────────────────────────────────────────────────┐ │
│ │ 生產程式碼庫 │ │
│ └──────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────┘攻擊分類
依向量
| 向量 | 描述 | 範例 | 衝擊 |
|---|---|---|---|
| 儲存庫脈絡投毒 | 儲存庫檔案中的惡意內容影響建議 | 相依套件中帶有注入載荷的註解 | 不安全的程式碼生成 |
| 訓練資料投毒 | 被投毒的開源程式碼影響模型權重 | 帶有細微漏洞模式的熱門套件 | 廣泛的不安全建議 |
| 即時脈絡操縱 | 修改 IDE 擴充功能可見的脈絡 | 工作區中引導建議的惡意檔案 | 針對性程式碼注入 |
| 供應鏈入侵 | 入侵模型建議的套件 | 建議中的拼字仿冒套件名稱 | 相依套件混淆 |
| 透過建議外滲 | 模型透過生成的程式碼洩漏敏感脈絡 | 來自 env 檔案的 API 金鑰出現在建議中 | 資料外滲 |
依衝擊
| 衝擊 | 嚴重度 | 範例 |
|---|---|---|
| 引入漏洞 | 高 | 生成程式碼中的 SQL 注入、XSS、緩衝區溢位 |
| 後門植入 | 嚴重 | 細微的認證繞過或資料外滲邏輯 |
| 供應鏈入侵 | 嚴重 | 建議安裝惡意套件 |
| 敏感資料洩漏 | 高 | 程式碼建議中的 API 金鑰、憑證、PII |
| 邏輯錯誤 | 中 | 通過測試但在邊緣案例失敗的不正確業務邏輯 |
程式碼模型與一般 LLM 比較
程式碼生成攻擊在幾個關鍵方面與一般 LLM 攻擊不同:
| 維度 | 一般 LLM 攻擊 | 程式碼模型攻擊 |
|---|---|---|
| 輸出衝擊 | 資訊性(文字) | 可執行(在生產中執行) |
| 審查流程 | 使用者閱讀輸出 | 開發者可能未經完整審查就接受 |
| 脈絡來源 | 使用者提示詞 + 系統提示詞 | 檔案、儲存庫、套件、git 歷史、終端機 |
| 持久性 | 單一對話 | 程式碼無限期存在於程式碼庫中 |
| 影響半徑 | 單一使用者 | 軟體的所有使用者 |
| 偵測難度 | 內容分析 | 需要程式碼安全分析 |
關鍵風險情境
情境 1:被投毒的儲存庫
攻擊者向熱門開源專案貢獻拉取請求。該 PR 包含經過精心製作內容的註解,當儲存庫在帶有 Copilot/Cursor 的 IDE 中開啟時,將程式碼建議引向不安全模式。
情境 2:拼字仿冒的套件
程式碼模型建議 import reqeusts(注意拼字)而非 import requests。拼字仿冒套件存在於 PyPI 並包含惡意程式碼。信任 AI 建議的開發者安裝了它。
情境 3:洩漏的密鑰
開發者的工作區中有帶 API 金鑰的 .env 檔案。程式碼模型在被提交到公開儲存庫的生成程式碼中包含這些金鑰。
子章節概覽
| 頁面 | 重點 | 關鍵技術 |
|---|---|---|
| Copilot/Cursor IDE 利用 | 攻擊 IDE 整合 AI | 脈絡投毒、建議引導、資料外滲 |
| 程式碼建議投毒 | 訓練資料與供應鏈攻擊 | 套件混淆、不安全模式植入、特洛伊程式碼 |
相關章節:
Knowledge Check
程式碼生成模型攻擊比對一般用途聊天機器人的攻擊更具衝擊的主要原因為何?
相關主題
- Copilot/Cursor IDE 利用 - 攻擊 IDE 整合 AI 助理
- 程式碼建議投毒 - 對程式碼模型的訓練資料與供應鏈攻擊
- 供應鏈安全 - 模型與套件供應鏈攻擊向量
- 間接提示詞注入 - 適用於程式碼模型的脈絡投毒基礎
參考資料
- "Do Users Write More Insecure Code with AI Assistants?" - Perry et al. (2023) - AI 生成程式碼安全的實證研究
- "Poisoning Programs by Poisoning Code Suggestions" - Schuster et al. (2023) - 特洛伊程式碼建議攻擊
- "Can You Trust Your AI Code Assistant?" - Pearce et al. (2022) - GitHub Copilot 建議的安全分析
- "Asleep at the Keyboard? Assessing the Security of GitHub Copilot's Code Contributions" - Pearce et al. (2021) - Copilot 的早期安全評估