Coinbase’s voorkeurs AI-coderingstool blijkt kwetsbaar voor ‘CopyPasta’-exploit

Een nieuwe exploit gericht op AI-codeerassistenten heeft alarm geslagen binnen de ontwikkelaarscommunity, waardoor bedrijven zoals cryptobeurs Coinbase het risico lopen op mogelijke aanvallen als er geen uitgebreide beveiligingsmaatregelen zijn getroffen.

Cybersecuritybedrijf HiddenLayer onthulde donderdag dat aanvallers een zogenaamde “CopyPasta License Attack” kunnen gebruiken om verborgen instructies in gangbare ontwikkelaarsbestanden te injecteren.

De exploit treft voornamelijk Cursor, een door AI aangedreven codeerhulpmiddel dat door Coinbase-ingenieurs wordt gebruikt zei in augustus behoorde tot de AI-tools van het team. Cursor zou door “elke Coinbase-ingenieur” zijn gebruikt.

Hoe de aanval werkt

De techniek maakt gebruik van de manier waarop AI-codeerassistenten licentiebestanden beschouwen als gezaghebbende instructies. Door kwaadaardige payloads in verborgen markdown-opmerkingen binnen bestanden zoals LICENSE.txt in te sluiten, overtuigt de exploit het model ervan dat deze instructies behouden moeten blijven en in elk bestand waar het mee werkt gerepliceerd moeten worden.

Zodra de AI de “licentie” als legitiem accepteert, verspreidt het automatisch de geïnjecteerde code naar nieuwe of bewerkte bestanden, zonder directe invoer van de gebruiker.

Deze benadering omzeilt traditionele malware-detectie omdat de kwaadaardige opdrachten worden vermomd als onschuldige documentatie, waardoor het virus zich door een volledige codebase kan verspreiden zonder dat een ontwikkelaar hiervan op de hoogte is.

In hun rapport toonden onderzoekers van HiddenLayer aan hoe Cursor kon worden misleid om achterdeurtjes toe te voegen, gevoelige gegevens af te tappen of bronnenintensieve opdrachten uit te voeren — allemaal vermomd in ogenschijnlijk onschuldige projectbestanden.

“Geëngageerde code kan een achterdeur creëren, stilletjes gevoelige gegevens exfiltreren of kritieke bestanden manipuleren,” aldus het bedrijf.

Coinbase CEO Brian Armstrong zei donderdag dat AI tot 40% van de code van het handelsplatform had geschreven, met als doel dit percentage volgende maand te verhogen naar 50%.

Echter, verduidelijkte Armstrong dat AI-ondersteund coderen bij Coinbase zich richt op de gebruikersinterface en niet-gevoelige backends, waarbij “complexe en systeemkritische systemen” langzamer worden geïmplementeerd.

'Potentieel kwaadaardig'

Desalniettemin versterkte de uitstraling van een virus dat was gericht op Coinbase's voorkeursinstrument de kritiek binnen de sector.

AI-promptinjecties zijn niet nieuw, maar de CopyPasta-methode brengt het dreigingsmodel naar een hoger niveau door semi-autonome verspreiding mogelijk te maken. In plaats van zich te richten op één enkele gebruiker, worden geïnfecteerde bestanden vectoren die elke andere AI-agent die ze leest compromitteren, waardoor een kettingreactie ontstaat over repositories heen.

In vergelijking met eerdere AI “worm” concepten zoals Morris II, dat e-mailagenten kaapte om spam te versturen of gegevens te exfiltreren, is CopyPasta insidieuzer omdat het vertrouwen de ontwikkelaarsworkflows benut. In plaats van gebruikersgoedkeuring of interactie te vereisen, nestelt het zich in bestanden waar elke codeeragent van nature naar verwijst.

Waar Morris II tekortschiet door menselijke controles op e-mailactiviteiten, floreert CopyPasta door zich te verbergen in documentatie die ontwikkelaars zelden grondig bekijken.

Beveiligingsteams dringen er nu bij organisaties op aan om bestanden te scannen op verborgen opmerkingen en alle door AI gegenereerde wijzigingen handmatig te beoordelen.

“Alle niet-vertrouwde gegevens die in LLM-contexten worden ingevoerd, moeten als potentieel schadelijk worden beschouwd,” waarschuwde HiddenLayer en riep op tot systematische detectie voordat prompt-gebaseerde aanvallen verder opschalen.

(CoinDesk heeft contact opgenomen met Coinbase voor een reactie op het aanvalsvector.)