Coinbase AI工具遭新病毒攻擊！

Coinbase的首選AI編碼工具可能被新病毒劫持

網絡安全公司HiddenLayer警告，流行的AI編碼工具Cursor存在漏洞，黑客可以利用這個漏洞悄悄注入惡意代碼，並「在組織內部蔓延」。

HiddenLayer在周四報告中指出，這種「CopyPasta License Attack」可以將惡意指令隱藏在常見的開發者文件中，從而「引入故意的漏洞到原本安全的代碼庫中」。

他們補充說：「通過說服底層模型相信我們的負載實際上是一個重要的許可文件，必須作為註釋包含在每個被代理編輯的文件中，我們可以輕鬆地將提示注入分佈到整個代碼庫中，幾乎不需要努力。」

HiddenLayer主要在Cursor這個工具上測試了這個病毒，Coinbase的工程團隊在八月份表示，Cursor是大多數開發者的首選工具，並且到二月份時已經被「每位Coinbase工程師」使用。

CopyPasta隱藏在常見文件中

HiddenLayer解釋說，CopyPasta攻擊會將隱藏的指令或「提示注入」放入LICENSE.txt和README.md文件中，這些指令可以在用戶不知情的情況下指導AI編碼工具。

這個病毒或AI的提示注入隱藏在markdown註釋中——這是README文件中用於添加解釋或註釋的文本，在最終格式中不會顯示出來。

HiddenLayer創建了一個包含病毒的代碼庫，並要求Cursor使用它，結果隱藏的指令使其將提示注入複製到新創建的文件中。

「這種機制可以被適應以實現更惡劣的結果，」該公司表示。「注入的代碼可以設置後門，悄悄地竊取敏感數據，引入消耗資源的操作，導致系統癱瘓，或操縱關鍵文件以擾亂開發和生產環境，所有這些都可以在文件深處埋藏，以避免立即檢測。」

Coinbase首席執行官因「瘋狂」使用AI而受到批評

這一消息發生在Coinbase首席執行官Brian Armstrong在周三表示，AI已經編寫了「多達40%」的代碼，並希望在下個月將這一比例擴大到50%，這引發了反對聲音。

去中心化交易所Dango的創始人Larry Lyu表示：「這對任何安全敏感的企業來說都是一個巨大的紅旗。」

卡內基梅隆大學計算機科學教授Jonathan Aldrich則表示：「軟件公司領導者：不要這樣做。AI是一種工具，但強制在某一水平上使用它是瘋狂的。」

Delphi Consulting的負責人Ashwath Balakrishnan批評Coinbase的目標「表現性和模糊」，並應該專注於「新功能和修復現有錯誤」，而長期的比特幣支持者Alex Pilař則表示，該交易所作為主要的加密貨幣保管方，「應優先考慮安全性」。

Coinbase在「不太敏感的數據後端」中使用AI

然而，Armstrong在他的帖子中表示，AI生成的代碼「需要被審查和理解」，並不是所有領域都可以使用它，但應該「儘可能負責任地使用」。

Coinbase工程團隊的博客文章指出，AI的採用在前端用戶界面和「不太敏感的數據後端」的團隊中最為普遍，而「複雜和系統關鍵的交易系統」的採用則較慢。

Armstrong表示，他解僱了那些不使用AI工具的工程師，並承認這是一種「強硬的做法」，「有些人真的不喜歡」。

這一事件凸顯了AI在編碼和開發中的潛在風險，尤其是在安全性至關重要的環境中。Coinbase的情況提醒我們，雖然AI技術能提高效率，但其安全性和可靠性仍需謹慎考量。企業在推廣AI技術時，必須平衡創新與風險，確保不會因為追求效率而忽略了安全問題。

以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。