Новый вирус может взломать предпочитаемый Coinbase инструмент для написания кода

cryptonews.ruОпубліковано о 2025-01-04Востаннє оновлено о 2025-09-05

Компания по кибербезопасности HiddenLayer сообщила об уязвимости в ИИ-инструментах для написания кода, которыми пользуются такие компании, как криптобиржа Coinbase. Уязвимость, названная «атака CopyPasta», позволяет хакерам скрытно внедрять вредоносное ПО, которое может «распространиться по всей организации».

Суть атаки

Атака заключается в сокрытии вредоносных инструкций в стандартных для разработки файлах, таких как LICENSE.txt и README.md. Эти инструкции, или «промты», могут тайно управлять ИИ-инструментом, заставляя его создавать уязвимости в защищённых кодовых базах.

Вредоносный код маскируется под комментарий в формате Markdown, который не отображается при окончательном форматировании текста, оставаясь невидимым для пользователя.

Механизм и последствия

HiddenLayer продемонстрировала атаку, создав репозиторий с таким кодом и предложив ИИ-ассистенту Cursor его использовать. Скрытые инструкции заставили инструмент копировать вредоносную строку во все новые создаваемые файлы.

По данным компании, уязвимы также инструменты Windsurf, Kiro и Aider. Эта методика может применяться для:

  • создания бэкдоров;

  • скрытого сбора конфиденциальных данных;

  • вывода систем из строя;

  • манипуляций с критически важными файлами.

Реакция на заявление Coinbase

Отчёт появился на фоне заявления CEO Coinbase Брайана Армстронга о том, что ИИ уже генерирует до 40% кода биржи, а к следующему месяцу этот показатель планируется увеличить до 50%. Это заявление вызвало критику в отрасли.

  • Основатель Dango Ларри Лью назвал это «тревожным сигналом для бизнеса, связанного с безопасностью».

  • Профессор Университета Карнеги-Меллон Джонатан Олдрич заявил, что требовать определённого уровня использования ИИ — «безумие».

  • Глава Delphi Consulting Ашват Балакришнан назвал цель Coinbase «перформативной» и призвал сосредоточиться на качестве кода.

  • Инвестор Алекс Пиларж отметил, что компания-хранитель активов должна уделять безопасности приоритетное внимание.

Позиция Coinbase

В Coinbase подчеркнули, что весь код, сгенерированный ИИ, проходит обязательную проверку. В корпоративном блоге уточняется, что активнее всего ИИ внедряется в командах, работающих над внешними интерфейсами и «менее чувствительными внутренними системами», а в критически важных для торговли системах — медленнее. Команда разработчиков также отметила, что ИИ — «не панацея».

Жёсткая позиция Армстронга

Ранее Армстронг заявил, что уволил нескольких инженеров, которые саботировали использование ИИ-инструментов после того, как компания закупила на них лицензии. Он признал, что это был «жёсткий подход», который вызвал недовольство, но был необходим для принудительного внедрения новых практик.

Пов'язані матеріали

Zuckerberg Gave the AI Bull Market a Fright

Mark Zuckerberg and Meta inadvertently sent shockwaves through the AI stock market. News that Meta plans to sell its "excess" AI computing power to external clients triggered a trillion-dollar sell-off in AI infrastructure stocks like Nvidia and AMD, while Meta's stock rose. This seemingly simple business move—renting out idle resources—shook a core assumption underpinning the two-year AI bull market: the belief that computing power ("compute") would be perpetually scarce. This scarcity narrative had fueled valuations across the entire supply chain, from GPUs to power suppliers. Meta's motivations are layered: improving hardware utilization during non-peak R&D periods, executing a strategic pivot, and redefining AI infrastructure. Unlike rivals selling APIs, Meta's open-source approach with Llama appears aimed at building an ecosystem where it ultimately profits from the underlying compute, similar to how AWS transformed from Amazon's internal capacity. Meta is essentially offering an integrated "AI factory" service, not just raw GPU rental. The market's fear wasn't Meta selling a few chips, but the signal that GPU supply might become more shareable and efficient, transitioning the industry from a Capex-driven "hoarding" model to an Opex-driven "utilization" model. This could fundamentally reset valuation logic from scarcity to efficiency. While the sell-off reversed somewhat as investors realized this shift is long-term, the direction is set. The move marks a potential inflection point: the era of easy valuation gains from simply buying GPUs may be ending, giving way to an era where operational efficiency and return on AI assets take center stage.

marsbit13 хв тому

Zuckerberg Gave the AI Bull Market a Fright

marsbit13 хв тому

Arcus Chooses "Stepfather" Robinhood Chain, "Biological Father" dYdX Awkwardly Attempts to Salvage the Situation

Robinhood officially launched its own Layer 2 network, Robinhood Chain. In response, many major DeFi protocols like Uniswap and Chainlink announced integration. A key point of discussion was Arcus, a new decentralized exchange (DEX) developed by the dYdX team, which chose to launch on Robinhood Chain instead of the native dYdX Chain. Arcus offers 24/7, zero-fee trading of 95 tokenized stocks and perpetual contracts. This move sparked community concerns about dYdX Chain potentially being sidelined, causing DYDX token's price to drop over 12%. Critics questioned if dYdX Labs' focus is shifting to Arcus and how DYDX token holders would benefit from Arcus's future growth, especially as its founder mentioned a future Arcus token would allocate a portion to the dYdX community. dYdX founder Antonio Juliano clarified that dYdX Chain will continue operating, but acknowledged its deep decentralization involved trade-offs in performance and user experience. He stated Arcus is a separate product led by a new CEO, responding to market demands for faster, simpler platforms. The dYdX Foundation also confirmed DYDX's role remains unchanged for dYdX Chain governance and staking, with no plans for token migration. However, the core uncertainty remains: if Arcus succeeds, how will that value flow back to dYdX Chain and its DYDX token holders?

Odaily星球日报1 год тому

Arcus Chooses "Stepfather" Robinhood Chain, "Biological Father" dYdX Awkwardly Attempts to Salvage the Situation

Odaily星球日报1 год тому

Торгівля

Спот
活动图片