会员服务
攻击 · 上下文 · AI · 代码 · 工具 ·
4 月 20 日
XOXO: Stealthy Cross-Origin Context Poisoning Attacks against AI Coding Assistants
翻译:XOXO:面向AI编码助手的隐蔽性跨源上下文投毒攻击
Adam Štorek,Mukur Gupta,Noopur Bhatt,Aditya Gupta,Janie Kim,Prashast Srivastava,Suman Jana
Adam Štorek,Mukur Gupta,Noopur Bhatt,Aditya Gupta,Janie Kim,Prashast Srivastava,Suman Jana
from arxiv, Accepted to ACL 2026 (main)

AI coding assistants are widely used for tasks like code generation. These tools now require large and complex contexts, automatically sourced from various origins$\unicode{x2014}$across files, projects, and contributors$\unicode{x2014}$forming part of the prompt fed to underlying LLMs. This automatic context-gathering introduces new vulnerabilities, allowing attackers to subtly poison input to compromise the assistant's outputs, potentially generating vulnerable code or introducing critical errors. We propose a novel attack, Cross-Origin Context Poisoning (XOXO), that is challenging to detect as it relies on adversarial code modifications that are semantically equivalent. Traditional program analysis techniques struggle to identify these perturbations since the semantics of the code remains correct, making it appear legitimate. This allows attackers to manipulate coding assistants into producing incorrect outputs, while shifting the blame to the victim developer. We introduce a novel, task-agnostic, black-box attack algorithm GCGS that systematically searches the transformation space using a Cayley Graph, achieving a 75.72% attack success rate on average across five tasks and eleven models, including GPT 4.1 and Claude 3.5 Sonnet v2 used by popular AI coding assistants. Furthermore, defenses like adversarial fine-tuning are ineffective against our attack, underscoring the need for new security measures in LLM-powered coding tools.


翻译:AI编码助手广泛应用于代码生成等任务。这些工具如今需要庞大且复杂的上下文,这些上下文自动源自不同源头——跨越文件、项目和贡献者——构成供给底层大语言模型的提示词的一部分。这种自动上下文收集引入了新的漏洞,允许攻击者微妙地投毒输入以破坏助手的输出,可能导致生成脆弱代码或引入关键错误。我们提出一种新型攻击——跨源上下文投毒(XOXO),该攻击由于依赖于语义等价的对抗性代码修改而难以检测。传统程序分析技术难以识别这些扰动,因为代码的语义保持正确,使其看似合法。这使得攻击者能够操纵编码助手产生错误输出,同时将责任转嫁给受害者开发者。我们引入一种新颖的、任务无关的黑盒攻击算法GCGS,该算法利用凯莱图系统性地搜索变换空间,在涵盖五个任务和十一个模型(包括流行AI编码助手使用的GPT 4.1和Claude 3.5 Sonnet v2)的实验中平均达到75.72%的攻击成功率。此外,对抗性微调等防御措施对我们的攻击无效,这凸显了在基于大语言模型的编码工具中亟需新的安全措施。
0
下载
关闭预览

相关内容

代码即代理基础设施:迈向可执行、可验证、有状态的AI代理系统
代码即代理基础设施:迈向可执行、可验证、有状态的AI代理系统
专知会员服务
15+阅读 · 5月20日
构建面向终端的 AI 编程智能体:脚手架、测试环境、上下文工程及实践经验
构建面向终端的 AI 编程智能体:脚手架、测试环境、上下文工程及实践经验
专知会员服务
25+阅读 · 3月8日
AI生成代码缺陷综述
AI生成代码缺陷综述
专知会员服务
17+阅读 · 2025年12月8日
中文版 | 数据投毒:AI驱动战争中优势地位的隐蔽武器
中文版 | 数据投毒:AI驱动战争中优势地位的隐蔽武器
专知会员服务
24+阅读 · 2025年7月6日
深度学习中的数据投毒:综述
深度学习中的数据投毒:综述
专知会员服务
29+阅读 · 2025年4月1日
DeepSeek系列报告:AI编程或为B端最先崛起的AI应用
DeepSeek系列报告:AI编程或为B端最先崛起的AI应用
专知会员服务
73+阅读 · 2025年2月15日
《深度学习代码智能》综述、基准和工具集
《深度学习代码智能》综述、基准和工具集
专知会员服务
56+阅读 · 2024年1月2日
终究还是来了,AI卷革程序员!!DeepMind发布媲美普通程序员的AlphaCode
终究还是来了,AI卷革程序员!!DeepMind发布媲美普通程序员的AlphaCode
专知会员服务
27+阅读 · 2022年2月3日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
【O'Reilly AI Conference 2019】使用机器学习和开源工具构建上下文AI助手(Building contextual AI assistants with machine learning and open source tools),Rasa产品经理Tyler Dunn
【O'Reilly AI Conference 2019】使用机器学习和开源工具构建上下文AI助手(Building contextual AI assistants with machine learning and open source tools),Rasa产品经理Tyler Dunn
专知会员服务
18+阅读 · 2019年11月5日
GPT-4 让 Python 程序实现自修复 Bug,国外小哥将工具命名为“金刚狼”,并开源!
GPT-4 让 Python 程序实现自修复 Bug,国外小哥将工具命名为“金刚狼”,并开源!
CSDN
11+阅读 · 2023年4月13日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
91+阅读 · 2022年4月17日
中科院自动化所提出 BIFT 模型:面向自然语言生成,同步双向推断
中科院自动化所提出 BIFT 模型:面向自然语言生成,同步双向推断
AI科技评论
12+阅读 · 2019年5月2日
打开人工智能黑箱:看最新16篇可解释深度学习文章,带您了解增强AI透明性
打开人工智能黑箱:看最新16篇可解释深度学习文章,带您了解增强AI透明性
专知
144+阅读 · 2019年1月13日
AI新方向:对抗攻击
AI新方向:对抗攻击
网易智能菌
10+阅读 · 2018年11月14日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
专知
20+阅读 · 2018年4月7日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
深度文本匹配开源工具(MatchZoo)
深度文本匹配开源工具(MatchZoo)
机器学习研究会
10+阅读 · 2017年12月5日
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
多视角识别长非编码RNA和人类复杂疾病关联预测研究
国家自然科学基金
4+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于云计算平台的下一代测序数据错误修正算法研究与实现
国家自然科学基金
2+阅读 · 2015年12月31日
基于神经网络的跨语言实体链指研究
国家自然科学基金
5+阅读 · 2015年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
Spore: Efficient and Training-Free Privacy Extraction Attack on LLMs via Inference-Time Hybrid Probing
Arxiv
0+阅读 · 4月26日
RedShell: A Generative AI-Based Approach to Ethical Hacking
Arxiv
0+阅读 · 4月13日
Broken by Default: A Formal Verification Study of Security Vulnerabilities in AI-Generated Code
Arxiv
0+阅读 · 4月8日
VibeGuard: A Security Gate Framework for AI-Generated Code
Arxiv
0+阅读 · 4月1日
Architecting Secure AI Agents: Perspectives on System-Level Defenses Against Indirect Prompt Injection Attacks
Arxiv
0+阅读 · 3月31日
Safeguarding LLMs Against Misuse and AI-Driven Malware Using Steganographic Canaries
Arxiv
0+阅读 · 3月30日
Beyond Banning AI: A First Look at GenAI Governance in Open Source Software Communities
Arxiv
0+阅读 · 3月27日
PIDP-Attack: Combining Prompt Injection with Database Poisoning Attacks on Retrieval-Augmented Generation Systems
Arxiv
0+阅读 · 3月26日
Detecting Data Poisoning in Code Generation LLMs via Black-Box, Vulnerability-Oriented Scanning
Arxiv
0+阅读 · 3月17日
Unsupervised Corpus Poisoning Attacks in Continuous Space for Dense Retrieval
Arxiv
0+阅读 · 3月16日
VIP会员
文章信息
前往arXiv
下载PDF
相关主题
攻击
上下文
AI
代码
工具
最新内容
生成式AI基础小册子绪论解读:一条数学地基路线,178页pdf
生成式AI基础小册子绪论解读:一条数学地基路线,178页pdf
专知会员服务
2+阅读 · 今天15:13
AutoScientists:自组织智能体团队驱动长期科学实验
AutoScientists:自组织智能体团队驱动长期科学实验
专知会员服务
2+阅读 · 今天15:08
《阿利·伯克级驱逐舰的战损修理:桌面推演结果》报告
《阿利·伯克级驱逐舰的战损修理:桌面推演结果》报告
专知会员服务
2+阅读 · 今天15:06
战略前沿人工智能的再思考(中文)
战略前沿人工智能的再思考(中文)
专知会员服务
3+阅读 · 今天14:53
《量化地基防空系统间接效应的博弈论方法》
《量化地基防空系统间接效应的博弈论方法》
专知会员服务
3+阅读 · 今天14:51
传感器网络:美国如何探测来自伊朗的导弹与无人机
传感器网络:美国如何探测来自伊朗的导弹与无人机
专知会员服务
3+阅读 · 今天14:47
《无人机战争中的经济不对称:伊朗“沙赫德-136”对抗以色列“铁穹”防御系统的案例研究》
《无人机战争中的经济不对称:伊朗“沙赫德-136”对抗以色列“铁穹”防御系统的案例研究》
专知会员服务
3+阅读 · 今天14:42
“史诗怒火行动”中美军损失的作战飞机
“史诗怒火行动”中美军损失的作战飞机
专知会员服务
2+阅读 · 今天14:38
ICML 2026 | 理解上下文持续学习中的泛化与遗忘
ICML 2026 | 理解上下文持续学习中的泛化与遗忘
专知会员服务
5+阅读 · 5月28日
Agent Harness综述:大模型智能体执行器工程全景
Agent Harness综述:大模型智能体执行器工程全景
专知会员服务
13+阅读 · 5月28日
审视现代战争中的 AI 赋能杀伤链系统及印度防务的战略要务(中文版)
审视现代战争中的 AI 赋能杀伤链系统及印度防务的战略要务(中文版)
专知会员服务
14+阅读 · 5月28日
分布式作战效能:乌克兰如何在战术层面重新定义火力打击、电子战与防空(中文版)
分布式作战效能:乌克兰如何在战术层面重新定义火力打击、电子战与防空(中文版)
专知会员服务
9+阅读 · 5月28日
马赛克防御与分布式指挥:伊朗的回击(中文版)
马赛克防御与分布式指挥:伊朗的回击(中文版)
专知会员服务
10+阅读 · 5月28日
《基于理论的威慑效能评估》
《基于理论的威慑效能评估》
专知会员服务
8+阅读 · 5月28日
《移动旅级战斗队转型中的支援单元指挥控制挑战》
《移动旅级战斗队转型中的支援单元指挥控制挑战》
专知会员服务
15+阅读 · 5月27日
相关VIP内容
代码即代理基础设施:迈向可执行、可验证、有状态的AI代理系统
代码即代理基础设施:迈向可执行、可验证、有状态的AI代理系统
专知会员服务
15+阅读 · 5月20日
构建面向终端的 AI 编程智能体:脚手架、测试环境、上下文工程及实践经验
构建面向终端的 AI 编程智能体:脚手架、测试环境、上下文工程及实践经验
专知会员服务
25+阅读 · 3月8日
AI生成代码缺陷综述
AI生成代码缺陷综述
专知会员服务
17+阅读 · 2025年12月8日
中文版 | 数据投毒:AI驱动战争中优势地位的隐蔽武器
中文版 | 数据投毒:AI驱动战争中优势地位的隐蔽武器
专知会员服务
24+阅读 · 2025年7月6日
深度学习中的数据投毒:综述
深度学习中的数据投毒:综述
专知会员服务
29+阅读 · 2025年4月1日
DeepSeek系列报告:AI编程或为B端最先崛起的AI应用
DeepSeek系列报告:AI编程或为B端最先崛起的AI应用
专知会员服务
73+阅读 · 2025年2月15日
《深度学习代码智能》综述、基准和工具集
《深度学习代码智能》综述、基准和工具集
专知会员服务
56+阅读 · 2024年1月2日
终究还是来了,AI卷革程序员!!DeepMind发布媲美普通程序员的AlphaCode
终究还是来了,AI卷革程序员!!DeepMind发布媲美普通程序员的AlphaCode
专知会员服务
27+阅读 · 2022年2月3日
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
【O'Reilly TensorFlow Conference 2019】恶意软件检测(Generative malware outbreak detection),Sean Park | Trend Micro
专知会员服务
15+阅读 · 2019年11月13日
【O'Reilly AI Conference 2019】使用机器学习和开源工具构建上下文AI助手(Building contextual AI assistants with machine learning and open source tools),Rasa产品经理Tyler Dunn
【O'Reilly AI Conference 2019】使用机器学习和开源工具构建上下文AI助手(Building contextual AI assistants with machine learning and open source tools),Rasa产品经理Tyler Dunn
专知会员服务
18+阅读 · 2019年11月5日
热门VIP内容
相关资讯
GPT-4 让 Python 程序实现自修复 Bug,国外小哥将工具命名为“金刚狼”,并开源!
GPT-4 让 Python 程序实现自修复 Bug,国外小哥将工具命名为“金刚狼”,并开源!
CSDN
11+阅读 · 2023年4月13日
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
【AI+军事】《用于威胁评估的人工智能工具》加拿大国防研究和发展部技术报告,附中文版pdf
专知
91+阅读 · 2022年4月17日
中科院自动化所提出 BIFT 模型:面向自然语言生成,同步双向推断
中科院自动化所提出 BIFT 模型:面向自然语言生成,同步双向推断
AI科技评论
12+阅读 · 2019年5月2日
打开人工智能黑箱:看最新16篇可解释深度学习文章,带您了解增强AI透明性
打开人工智能黑箱:看最新16篇可解释深度学习文章,带您了解增强AI透明性
专知
144+阅读 · 2019年1月13日
AI新方向:对抗攻击
AI新方向:对抗攻击
网易智能菌
10+阅读 · 2018年11月14日
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
DeepMind无监督表示学习重大突破:语音、图像、文本、强化学习全能冠军!
新智元
12+阅读 · 2018年7月13日
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
综述 | 一文看尽三种针对人工智能系统的攻击技术及防御策略
机器之心
16+阅读 · 2018年7月9日
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
【论文推荐】最新六篇对抗自编码器相关论文—多尺度网络节点表示、生成对抗自编码、逆映射、Wasserstein、条件对抗、去噪
专知
20+阅读 · 2018年4月7日
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
对抗样本再下一城,攻陷目标检测!自动驾驶或受攻击?UIUC学者构建欺骗检测器的对抗样本!
专知
29+阅读 · 2017年12月12日
深度文本匹配开源工具(MatchZoo)
深度文本匹配开源工具(MatchZoo)
机器学习研究会
10+阅读 · 2017年12月5日
相关论文
Spore: Efficient and Training-Free Privacy Extraction Attack on LLMs via Inference-Time Hybrid Probing
Arxiv
0+阅读 · 4月26日
RedShell: A Generative AI-Based Approach to Ethical Hacking
Arxiv
0+阅读 · 4月13日
Broken by Default: A Formal Verification Study of Security Vulnerabilities in AI-Generated Code
Arxiv
0+阅读 · 4月8日
VibeGuard: A Security Gate Framework for AI-Generated Code
Arxiv
0+阅读 · 4月1日
Architecting Secure AI Agents: Perspectives on System-Level Defenses Against Indirect Prompt Injection Attacks
Arxiv
0+阅读 · 3月31日
Safeguarding LLMs Against Misuse and AI-Driven Malware Using Steganographic Canaries
Arxiv
0+阅读 · 3月30日
Beyond Banning AI: A First Look at GenAI Governance in Open Source Software Communities
Arxiv
0+阅读 · 3月27日
PIDP-Attack: Combining Prompt Injection with Database Poisoning Attacks on Retrieval-Augmented Generation Systems
Arxiv
0+阅读 · 3月26日
Detecting Data Poisoning in Code Generation LLMs via Black-Box, Vulnerability-Oriented Scanning
Arxiv
0+阅读 · 3月17日
Unsupervised Corpus Poisoning Attacks in Continuous Space for Dense Retrieval
Arxiv
0+阅读 · 3月16日
相关基金
基于智能模糊测试的深度漏洞挖掘技术研究
国家自然科学基金
4+阅读 · 2017年12月31日
多视角识别长非编码RNA和人类复杂疾病关联预测研究
国家自然科学基金
4+阅读 · 2017年12月31日
面向应用商店的移动智能终端恶意软件检测关键技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于海量软件片段比对的恶意代码检测方法研究
国家自然科学基金
2+阅读 · 2015年12月31日
复杂系统中多密码算法密钥协同安全研究
国家自然科学基金
0+阅读 · 2015年12月31日
基于软件定义无线网络的虚拟多径攻击检测与防御技术研究
国家自然科学基金
1+阅读 · 2015年12月31日
基于云计算平台的下一代测序数据错误修正算法研究与实现
国家自然科学基金
2+阅读 · 2015年12月31日
基于神经网络的跨语言实体链指研究
国家自然科学基金
5+阅读 · 2015年12月31日
Android移动终端多语种基础软件组合的安全技术研究
国家自然科学基金
0+阅读 · 2014年12月31日
多域网络安全的异构策略语义形态与验证机制
国家自然科学基金
0+阅读 · 2014年12月31日
Top
微信扫码咨询专知VIP会员
Top