Basta alterar uma linha no documento para contaminar o assistente de programação AI: Wu Enda's Context Hub exposto com toda a cadeia sem revisão

De acordo com a monitorização da 1M AI News, o fundador da DeepLearning.AI e professor a tempo parcial na Universidade de Stanford, Andrew Ng, lançou há duas semanas o serviço de documentação de programação AI Context Hub, que foi exposto por investigadores de segurança como tendo risco de ataque à cadeia de abastecimento. O Context Hub fornece documentação API ao agente de programação através de um servidor MCP, com contribuidores submetendo documentos via PR no GitHub, que são posteriormente mesclados pelos mantenedores e lidos pelo agente conforme necessário. O criador do serviço alternativo lap.sh, Mickey Shmueli, publicou uma prova de conceito de ataque (PoC), apontando que toda a linha de produção “não possui revisão de conteúdo em nenhuma fase”.

Shmueli criou duas versões de documentação falsa para Plaid Link e Stripe Checkout, cada uma contendo um pacote PyPI falsificado, testando com modelos de três níveis da Anthropic 40 vezes:

1. Haiku sempre insere o pacote malicioso no requirements.txt, sem exibir avisos na saída
2. Sonnet em 48% (19/40) dos testes emite avisos, mas ainda insere dependências maliciosas em 53% (21/40)
3. Opus apresenta o melhor desempenho, emitindo avisos em 75% (30/40) dos testes, sem inserir dependências maliciosas no código

O atacante só precisa submeter um PR que seja mesclado para completar o ataque de envenenamento, com uma barreira de revisão baixa: dos 97 PRs fechados, 58 foram mesclados. Shmueli destacou que, na essência, trata-se de uma variação de injeção de sugestões indiretas, pois os modelos de IA não conseguem distinguir de forma confiável entre dados e comandos ao processar conteúdo, e outros serviços de documentação comunitária também apresentam deficiências na revisão de conteúdo. Andrew Ng não respondeu aos pedidos de comentário.