Ibahagi ang artikulong ito
Ang Go-To AI Coding Tool ng Coinbase ay Natagpuang Mahina sa 'CopyPasta' Exploit
Itinatago ng technique ang mga nakakahamak na prompt sa loob ng markdown na mga komento sa loob ng mga file gaya ng README.md o LICENSE.txt. Dahil itinuturing ng mga modelo ng AI ang impormasyon ng lisensya bilang makapangyarihan, ang nahawaang text ay ginagaya sa mga bagong file na binubuo ng assistant.
Set 6, 2025, 4:30 a.m. Isinalin ng AI
Ano ang dapat malaman:
- Ang isang bagong pagsasamantala na tinatawag na "CopyPasta License Attack" ay nagta-target ng mga AI coding assistant, na naglalagay ng mga panganib sa mga kumpanya tulad ng Coinbase kung hindi ipinatupad ang mga pananggalang.
- Itinatago ng pag-atake ang mga nakakahamak na senyas sa mga markdown na komento, na nagpapahintulot sa virus na kumalat sa mga codebase nang hindi nalalaman ng mga developer.
- Inirerekomenda ng mga eksperto sa seguridad ang pag-scan ng mga file para sa mga nakatagong komento at manu-manong pagsusuri sa mga pagbabagong binuo ng AI upang maiwasan ang pag-scale ng mga mabilisang pag-atake.
Ang isang bagong pagsasamantala na nagta-target sa mga AI coding assistant ay nagtaas ng mga alarma sa buong komunidad ng developer, na nagbukas ng mga kumpanya tulad ng Crypto exchange Coinbase sa panganib ng mga potensyal na pag-atake kung ang malawak na mga pananggalang ay T sa lugar.
Cybersecurity firm na HiddenLayer ibinunyag noong Huwebes na maaaring gamitin ng mga umaatake ang isang tinatawag na "CopyPasta License Attack" upang mag-inject ng mga nakatagong tagubilin sa mga karaniwang file ng developer.
Ipagpatuloy Ang Kwento Sa Baba
Huwag palampasin ang isa pang kuwento.Mag-subscribe sa The Protocol Newsletter ngayon. Tingnan lahat ng newsletter
Ang pagsasamantala ay pangunahing nakakaapekto sa Cursor, isang AI-powered coding tool na inhinyero ng Coinbase sinabi noong Agosto ay kabilang sa mga tool ng AI ng team. Ang cursor ay sinasabing ginamit ng "bawat inhinyero ng Coinbase."
Paano gumagana ang pag-atake
Sinasamantala ng diskarteng ito kung paano tinatrato ng mga AI coding assistant ang mga licensing file bilang mga makapangyarihang tagubilin. Sa pamamagitan ng pag-embed ng mga nakakahamak na payload sa mga nakatagong markdown na komento sa loob ng mga file gaya ng LICENSE.txt, nakumbinsi ng pagsasamantala ang modelo na ang mga tagubiling ito ay dapat pangalagaan at gayahin sa bawat file na mahawakan nito.
Kapag natanggap na ng AI ang "lisensya" bilang lehitimo, awtomatiko nitong ipapalaganap ang na-inject na code sa mga bago o na-edit na file, na kumakalat nang walang direktang input ng user.
Pinipigilan ng diskarteng ito ang tradisyunal na pagtuklas ng malware dahil ang mga nakakahamak na command ay disguised bilang hindi nakakapinsalang dokumentasyon, na nagpapahintulot sa virus na kumalat sa isang buong codebase nang walang kaalaman ng developer.
Sa ulat nito, ipinakita ng mga mananaliksik ng HiddenLayer kung paano malinlang si Cursor sa pagdaragdag ng mga backdoor, pagsipsip ng sensitibong data, o pagpapatakbo ng mga command na nakakaubos ng mapagkukunan — lahat ay nakabalatkayo sa loob ng tila hindi nakapipinsalang mga file ng proyekto.
"Ang iniksyon na code ay maaaring magsagawa ng backdoor, tahimik na mag-exfiltrate ng sensitibong data o manipulahin ang mga kritikal na file," sabi ng kompanya.
Sinabi ng CEO ng Coinbase na si Brian Armstrong noong Huwebes na isinulat ng AI ang hanggang 40% ng code ng palitan, na may layuning maabot ang 50% sa susunod na buwan.
Loading...
Gayunpaman, nilinaw ni Armstrong na ang AI-assisted coding sa Coinbase ay puro sa user interface at mga non-sensitive na backend, na may mas mabagal na paggamit ng "kumplikado at sistemang kritikal na mga sistema."
'Potensyal na nakakahamak'
Gayunpaman, ang optika ng isang virus na nagta-target sa ginustong tool ng Coinbase ay nagpalakas ng pagpuna sa industriya.
Ang AI prompt injection ay hindi bago, ngunit ang pamamaraan ng CopyPasta ay nagsusulong sa modelo ng pagbabanta sa pamamagitan ng pagpapagana ng semi-autonomous spread. Sa halip na i-target ang isang user, ang mga nahawaang file ay nagiging mga vectors na nakompromiso sa bawat iba pang ahente ng AI na nagbabasa sa kanila, na lumilikha ng chain reaction sa mga repositoryo.
Kumpara sa naunang AI Ang mga konsepto ng "worm" tulad ng Morris II, na nag-hijack ng mga email agent para mag-spam o mag-exfiltrate ng data, mas mapanlinlang ang CopyPasta dahil ginagamit nito ang mga pinagkakatiwalaang workflow ng developer. Sa halip na mangailangan ng pag-apruba o pakikipag-ugnayan ng user, ini-embed nito ang sarili nito sa mga file na natural na tinutukoy ng bawat coding agent.
Kung saan ang Morris II ay kulang dahil sa mga pagsusuri ng Human sa aktibidad ng email, ang CopyPasta ay umuunlad sa pamamagitan ng pagtatago sa loob ng dokumentasyon na bihirang suriin ng mga developer.
Hinihimok na ngayon ng mga security team ang mga organisasyon na mag-scan ng mga file para sa mga nakatagong komento at manu-manong suriin ang lahat ng mga pagbabagong binuo ng AI.
"Ang lahat ng hindi pinagkakatiwalaang data na pumapasok sa mga konteksto ng LLM ay dapat ituring bilang potensyal na nakakahamak," babala ng HiddenLayer, na nanawagan para sa sistematikong pagtuklas bago ang mas mabilis na pag-atake na nakabatay sa bilis.
(Naabot ng CoinDesk ang Coinbase para sa mga komento sa vector ng pag-atake.)
Higit pang Para sa Iyo
Ano ang dapat malaman:
- As of October 2025, GoPlus has generated $4.7M in total revenue across its product lines. The GoPlus App is the primary revenue driver, contributing $2.5M (approx. 53%), followed by the SafeToken Protocol at $1.7M.
- GoPlus Intelligence's Token Security API averaged 717 million monthly calls year-to-date in 2025 , with a peak of nearly 1 billion calls in February 2025. Total blockchain-level requests, including transaction simulations, averaged an additional 350 million per month.
- Since its January 2025 launch , the $GPS token has registered over $5B in total spot volume and $10B in derivatives volume in 2025. Monthly spot volume peaked in March 2025 at over $1.1B , while derivatives volume peaked the same month at over $4B.
More For You
Sinakop ng NFT Project Pudgy Penguins ang Las Vegas Sphere sa Kampanya ng Kapaskuhan
Ipapalabas ang mga animated segment ng NFT brand sa Sphere sa buong linggo ng Pasko, na hudyat ng paglipat ng Crypto company sa totoong mundo ng mga Markets ng mamimili.
What to know:
- Magsasagawa ang Pudgy Penguins ng isang kampanya sa patalastas sa Las Vegas Sphere sa linggo ng Pasko, ONE sa iilang Crypto brand na nakakuha ng puwesto sa kilalang lugar.
- Ang proyektong NFT, na inilunsad sa Ethereum noong 2021, ay lumawak na sa mga pisikal na laruan at digital gaming bilang bahagi ng mas malawak na pagtutulak sa mga mamimili.
- Panandaliang nalampasan ng Pudgy Penguins ang Bored Apes sa pinakamababang presyo nitong mga unang araw ng taon at kamakailan ay inilunsad ang PENGU token nito sa Solana, na ngayon ay ipinagbibili sa mga pangunahing palitan.
