Предпочтительный инструмент Coinbase Code можно легко взломать

Инструмент кодирования искусственного интеллекта, предпочитаемый такими, как криптовалютный обмен Coinbase, имеет уязвимость, позволяющая хакерам молча вводить вредоносные программы и «распространяться по всей организации», – говорит фирма по кибербезопасности.

В четверг Hiddenlayer сообщил, что «атака лицензии Copypasta может скрывать вредоносные инструкции в общих файлах разработчиков, чтобы« представить преднамеренные уязвимости в кодовые базы, которые в противном случае были бы безопасными ».

«Убедив, что базовая модель в том, что наша полезная нагрузка на самом деле является важным файлом лицензии, которая должна быть включена в качестве комментария в каждом файле, который редактируется агентом, мы можем быстро распределить быстрое впрыск по всем кодовым базам с минимальными усилиями», – добавил он.

Hiddenlayer преимущественно протестировал вирус на курсоре, инструменте кодирования с AI, который, по словам инженерной группы Coinbase, в августе был предпочтительным инструментом для большинства своих разработчиков и использовался «каждым инженером Coinbase» к февралю.

По словам Hiddenlayer, инструменты кодирования AI, Windsurf, Kiro и Aider, также были уязвимы для атаки.

Содержание

1. Copypasta скрывается в общих файлах
2. Boss Coinbase ударил для «безумного» использования ИИ
3. Coinbase использует ИИ в «менее чувствительных данных данных»
4. Армстронг уволил разработчиков, которые уклонялись от ИИ

Copypasta скрывается в общих файлах

Hiddenlayer объяснил, что атака Copypasta помещает скрытые инструкции или «быстрые инъекции» в файлы лицензии .txt и readme.md, которые могут направлять инструменты кодирования ИИ без знания пользователя.

Вирус, или оперативная инъекция для ИИ, скрыт в комментарии на уценке – текст в файле readme, используемый для добавления объяснений или заметок, которые не отображаются, когда он попадает в его окончательный формат.

Вирус включен в комментарий на уценке (слева), который скрыт от рендеринга, связанного с пользователем (справа). Источник: Hiddenlayer

Hiddenlayer создал хранилище кода с вирусом и попросил курсор использовать его, и скрытые инструкции увидели, как он скопировал впрыск быстрого введения в новые файлы, которые он создал.

«Этот механизм может быть адаптирован для достижения гораздо более гнусных результатов», – сказали в компании.

«Внедренный код может установить бэкдор, тихо экфильтрат, конфиденциальные данные, вводить операции по дренированию ресурсов, которые калечащие системы или манипулируют критическими файлами, чтобы нарушить развитие и производственные среды»,-добавил Hiddenlayer. «Все, когда они похоронены глубоко внутри файлов, чтобы избежать немедленного обнаружения».

Boss Coinbase ударил для «безумного» использования ИИ

Это произошло после того, как генеральный директор Coinbase Брайан Армстронг заявил в среду, что ИИ написал до 40% своего кода и хочет расширить это до 50% в следующем месяце, что вызвало обратную реакцию.

«Это гигантский красный флаг для любого чувствительного к безопасности», – сказал основатель Decentralized Exchange Dango Ларри Лю.

«Лидеры компании -разработчика программного обеспечения: не делайте этого. AI – это инструмент, но мандат на его использование на определенном уровне безумно», – сказал профессор компьютерных наук Университета Карнеги Меллона Джонатан Олдрич. «Я не заинтересован в использовании Coinbase, но даже если бы я это сделал, я, конечно, не доверял бы ей своими деньгами, увидев это».

Глава Delphi Consulting, Ashwath Balakrishnan, называемый целью Coinbase «перформативным и расплывчатым», и вместо этого он должен сосредоточиться на «новых функциях и исправлении существующих ошибок», в то время как давний биткоин Алекс Пилах сказал, что обмен является основным хранителем криптовалюты, который «должен определить приоритетное безопасность».

Coinbase использует ИИ в «менее чувствительных данных данных»

Тем не менее, Армстронг сказал в своем посте, что сгенерированный AI код «должен быть рассмотрен и понят», и не все области обмена могут использовать его, но его следует использовать «ответственно, как мы можем».

Связанный: преступники «взломат атмосферу» с ИИ на беспрецедентных уровнях: антропический

В блоге команды инженерной работы Coinbase говорилось, что внедрение искусственного интеллекта было самым глубоким в командах, работающих над пользовательскими интерфейсами, и «менее чувствительные бэкэнды данных», в то время как «сложные и критические системы обмена» наблюдали более медленное поглощение.

Процент A-созданных AI-линий кода (LOC) по всей Coinbase показывает, что его институциональная команда разработчиков использует наименее ИИ. Источник: Coinbase

Команда добавила, что использование искусственного интеллекта для кодирования «не является волшебным буллетом, мы должны ожидать, что команды будут универсально принять».

Армстронг уволил разработчиков, которые уклонялись от ИИ

Армстронг сказал, что в прошлом месяце Армстронг сказал, что он уволил инженеров, которые не пробовали инструменты для ИИ после того, как Coinbase купил лицензии для Cursor и Github Copilot.

Он рассказал, что его сказали, что потребуется месяцы, чтобы заставить инженеров использовать ИИ, признав, что он «пошел в мошенник» и сказал всем инженерам, что они обязательно используют инструменты.

«Я сказал:« ИИ это важно, нам нужно, чтобы вы все изучили это и, по крайней мере, на борту. Вам не нужно использовать его каждый день, пока мы не пройдем какую -то обучение, но, по крайней мере, на борту к концу недели, и если нет, я провожу встречу в субботу со всеми, кто этого не делал, и я хотел бы встретиться с вами, чтобы понять, почему », – сказал он.

На встрече Армстронг сказал, что было несколько инженеров, которые не использовали ИИ и не представляли веской причины, и «их уволили», признав, что это был «жесткий подход», который «некоторым людям действительно не понравилось».

AI Eye: Все ненавидят GPT-5, AI показывает, что социальные сети не могут быть исправлены