GitHub: CodeQL 2.26 uvodi detekciju AI prompt injectiona — prvi mainstream SAST alat koji AI napade tretira ravnopravno s klasičnima
CodeQL 2.26.0 je nova verzija GitHubove statičke sigurnosne analize koja donosi detekciju AI prompt injection napada kao novi tip analize, uz podršku za Kotlin 2.4.0. To je prva integracija AI-specifičnog vektora napada u mainstream SAST alat, čime prompt injection ulazi u iste sigurnosne tijekove kao XSS i SQL injection.
Ovaj članak generiran je uz pomoć umjetne inteligencije na temelju primarnih izvora.
GitHub je 10. srpnja 2026. objavio CodeQL 2.26.0, verziju svog alata za statičku sigurnosnu analizu koja prvi put uvodi detekciju AI prompt injection napada. CodeQL kod tretira kao bazu podataka nad kojom izvršava sigurnosne upite, pronalazeći ranjivosti prije nego dospiju u produkciju — a od ove verzije popis pokrivenih napada uključuje i AI-specifične vektore.
Zašto je ovo prekretnica?
Prompt injection — ubacivanje skrivenih instrukcija u ulaz jezičnog modela kako bi se preusmjerilo njegovo ponašanje — dosad se tretirao kao “meki” AI problem, odvojen od klasične sigurnosti softvera. Ulaskom u CodeQL, alat koji koriste milijuni repozitorija kroz GitHub Advanced Security, prompt injection dobiva isti status kao XSS ili SQL injection: automatski se skenira pri svakom pull requestu. To je signal da industrija AI napade počinje tretirati kao mainstream sigurnosni rizik, a ne kao istraživačku kuriozu.
Što točno detektira?
Novi tip analize prati tokove podataka gdje nepouzdani ulaz dolazi do poziva jezičnog modela bez odgovarajuće sanitizacije — obrazac koji nastaje kad aplikacija korisnički unos izravno prosljeđuje u prompt. To je posebno relevantno za rastući val aplikacija koje ugrađuju LLM-ove i agente, gdje granica između podataka i instrukcija postaje zamagljena.
Ostale novosti
Uz sigurnosnu novost, CodeQL 2.26.0 dodaje podršku za Kotlin 2.4.0 te poboljšava analizu za C#, Go i JavaScript/TypeScript. Objava dolazi isti dan kad arXiv rad “Overthinking” pokazuje novu klasu ekstrakcijskih napada na reasoning modele — dvostruki podsjetnik da sigurnost AI sustava 2026. postaje zasebna, ozbiljna disciplina.
Česta pitanja
- Što je CodeQL?
- CodeQL je GitHubov alat za statičku sigurnosnu analizu (SAST) koji kod pretražuje kao bazu podataka i pronalazi ranjivosti prije nego što dospiju u produkciju.
- Što je prompt injection?
- Prompt injection je napad u kojem se u ulaz AI modela ubacuju skrivene instrukcije koje preusmjeravaju njegovo ponašanje — AI-ekvivalent SQL injectiona, sve opasniji kako aplikacije ugrađuju jezične modele.
- Što još donosi CodeQL 2.26.0?
- Podršku za Kotlin 2.4.0 te poboljšanja analize za C#, Go i JavaScript/TypeScript, uz novu detekciju prompt injectiona.
Izvori
Povezane vijesti
arXiv:2607.08173: 'Overthinking' — pojačano zaključivanje tjera reasoning modele da odaju naučene tajne, novi ekstrakcijski napad na ICML 2026
OpenAI: prvi Bio Bug Bounty — istraživači pozvani da pronađu biosigurnosne propuste u GPT-5.5 modelu
DT-Guard: model od 4B parametara nadmašuje 8B guardraile odvajanjem reasoning supervizije od brzine inferencije