🟡 🛡️ Sigurnost Objavljeno: · 2 min čitanja ·

GitHub: CodeQL 2.26 uvodi detekciju AI prompt injectiona — prvi mainstream SAST alat koji AI napade tretira ravnopravno s klasičnima

Editorial ilustracija: skener koda koji hvata zlonamjernu poruku umetnutu u AI upit

CodeQL 2.26.0 je nova verzija GitHubove statičke sigurnosne analize koja donosi detekciju AI prompt injection napada kao novi tip analize, uz podršku za Kotlin 2.4.0. To je prva integracija AI-specifičnog vektora napada u mainstream SAST alat, čime prompt injection ulazi u iste sigurnosne tijekove kao XSS i SQL injection.

🤖

Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.

GitHub je 10. srpnja 2026. objavio CodeQL 2.26.0, verziju svog alata za statičku sigurnosnu analizu koja prvi put uvodi detekciju AI prompt injection napada. CodeQL kod tretira kao bazu podataka nad kojom izvršava sigurnosne upite, pronalazeći ranjivosti prije nego dospiju u produkciju — a od ove verzije popis pokrivenih napada uključuje i AI-specifične vektore.

Zašto je ovo prekretnica?

Prompt injection — ubacivanje skrivenih instrukcija u ulaz jezičnog modela kako bi se preusmjerilo njegovo ponašanje — dosad se tretirao kao “meki” AI problem, odvojen od klasične sigurnosti softvera. Ulaskom u CodeQL, alat koji koriste milijuni repozitorija kroz GitHub Advanced Security, prompt injection dobiva isti status kao XSS ili SQL injection: automatski se skenira pri svakom pull requestu. To je signal da industrija AI napade počinje tretirati kao mainstream sigurnosni rizik, a ne kao istraživačku kuriozu.

Što točno detektira?

Novi tip analize prati tokove podataka gdje nepouzdani ulaz dolazi do poziva jezičnog modela bez odgovarajuće sanitizacije — obrazac koji nastaje kad aplikacija korisnički unos izravno prosljeđuje u prompt. To je posebno relevantno za rastući val aplikacija koje ugrađuju LLM-ove i agente, gdje granica između podataka i instrukcija postaje zamagljena.

Ostale novosti

Uz sigurnosnu novost, CodeQL 2.26.0 dodaje podršku za Kotlin 2.4.0 te poboljšava analizu za C#, Go i JavaScript/TypeScript. Objava dolazi isti dan kad arXiv rad “Overthinking” pokazuje novu klasu ekstrakcijskih napada na reasoning modele — dvostruki podsjetnik da sigurnost AI sustava 2026. postaje zasebna, ozbiljna disciplina.

Česta pitanja

Što je CodeQL?
CodeQL je GitHubov alat za statičku sigurnosnu analizu (SAST) koji kod pretražuje kao bazu podataka i pronalazi ranjivosti prije nego što dospiju u produkciju.
Što je prompt injection?
Prompt injection je napad u kojem se u ulaz AI modela ubacuju skrivene instrukcije koje preusmjeravaju njegovo ponašanje — AI-ekvivalent SQL injectiona, sve opasniji kako aplikacije ugrađuju jezične modele.
Što još donosi CodeQL 2.26.0?
Podršku za Kotlin 2.4.0 te poboljšanja analize za C#, Go i JavaScript/TypeScript, uz novu detekciju prompt injectiona.