Новый вирус может взломать предпочитаемый Coinbase инструмент для написания кода

cryptonews.ruPublié le 2025-01-04Dernière mise à jour le 2025-09-05

Компания по кибербезопасности HiddenLayer сообщила об уязвимости в ИИ-инструментах для написания кода, которыми пользуются такие компании, как криптобиржа Coinbase. Уязвимость, названная «атака CopyPasta», позволяет хакерам скрытно внедрять вредоносное ПО, которое может «распространиться по всей организации».

Суть атаки

Атака заключается в сокрытии вредоносных инструкций в стандартных для разработки файлах, таких как LICENSE.txt и README.md. Эти инструкции, или «промты», могут тайно управлять ИИ-инструментом, заставляя его создавать уязвимости в защищённых кодовых базах.

Вредоносный код маскируется под комментарий в формате Markdown, который не отображается при окончательном форматировании текста, оставаясь невидимым для пользователя.

Механизм и последствия

HiddenLayer продемонстрировала атаку, создав репозиторий с таким кодом и предложив ИИ-ассистенту Cursor его использовать. Скрытые инструкции заставили инструмент копировать вредоносную строку во все новые создаваемые файлы.

По данным компании, уязвимы также инструменты Windsurf, Kiro и Aider. Эта методика может применяться для:

  • создания бэкдоров;

  • скрытого сбора конфиденциальных данных;

  • вывода систем из строя;

  • манипуляций с критически важными файлами.

Реакция на заявление Coinbase

Отчёт появился на фоне заявления CEO Coinbase Брайана Армстронга о том, что ИИ уже генерирует до 40% кода биржи, а к следующему месяцу этот показатель планируется увеличить до 50%. Это заявление вызвало критику в отрасли.

  • Основатель Dango Ларри Лью назвал это «тревожным сигналом для бизнеса, связанного с безопасностью».

  • Профессор Университета Карнеги-Меллон Джонатан Олдрич заявил, что требовать определённого уровня использования ИИ — «безумие».

  • Глава Delphi Consulting Ашват Балакришнан назвал цель Coinbase «перформативной» и призвал сосредоточиться на качестве кода.

  • Инвестор Алекс Пиларж отметил, что компания-хранитель активов должна уделять безопасности приоритетное внимание.

Позиция Coinbase

В Coinbase подчеркнули, что весь код, сгенерированный ИИ, проходит обязательную проверку. В корпоративном блоге уточняется, что активнее всего ИИ внедряется в командах, работающих над внешними интерфейсами и «менее чувствительными внутренними системами», а в критически важных для торговли системах — медленнее. Команда разработчиков также отметила, что ИИ — «не панацея».

Жёсткая позиция Армстронга

Ранее Армстронг заявил, что уволил нескольких инженеров, которые саботировали использование ИИ-инструментов после того, как компания закупила на них лицензии. Он признал, что это был «жёсткий подход», который вызвал недовольство, но был необходим для принудительного внедрения новых практик.

Lectures associées

Traders d'Ethereum, surveillez CECI de près après un déplacement baleinier de 26 M$ parce que...

Depuis sa chute à 1 510 $, Ethereum évolue dans un range étroit, autour de 1 600 $. Au moment de la rédaction, l’ETH s’échange à 1 622 $, en hausse de 2,8% sur 24h. Cette action de prix atone a poussé certains investisseurs à réduire leur exposition. Une baleine, connue sous le nom de Satofashi, qui avait accumulé 91 945 ETH (159,9 millions de dollars) entre fin mai et juin à un prix moyen de 1 749 $, a récemment déposé 16 842 ETH (26,87 millions de dollars) sur un exchange. Ce transfert, qui représenterait une perte réalisée d'environ 2,66 millions de dollars en cas de vente, est plus probablement lié à un repositionnement, la majorité des fonds restant inchangée. Ce mouvement s’inscrit dans une tendance plus large d’afflux nets positifs vers les exchanges. Malgré cette pression de vente potentielle, le prix d’Ethereum a tenu le niveau des 1 600 $. Les indicateurs techniques montrent un momentum qui s’améliore progressivement : le MACD, bien qu’en territoire négatif, a effectué un croisement haussier et l’indicateur BvB est devenu positif. Cela suggère un possible rebond vers 1 777 $. En résumé, le marché se trouve à un point de décision crucial : des indicateurs techniques qui s’améliorent contrastent avec des entrées croissantes sur les exchanges, laissant planer le risque d’une nouvelle pression vendeuse qui pourrait tester le support à 1 500 $.

ambcryptoIl y a 17 mins

Traders d'Ethereum, surveillez CECI de près après un déplacement baleinier de 26 M$ parce que...

ambcryptoIl y a 17 mins

Trading

Spot
活动图片