Новый вирус может взломать предпочитаемый Coinbase инструмент для написания кода

cryptonews.ru發佈於 2025-01-04更新於 2025-09-05

Компания по кибербезопасности HiddenLayer сообщила об уязвимости в ИИ-инструментах для написания кода, которыми пользуются такие компании, как криптобиржа Coinbase. Уязвимость, названная «атака CopyPasta», позволяет хакерам скрытно внедрять вредоносное ПО, которое может «распространиться по всей организации».

Суть атаки

Атака заключается в сокрытии вредоносных инструкций в стандартных для разработки файлах, таких как LICENSE.txt и README.md. Эти инструкции, или «промты», могут тайно управлять ИИ-инструментом, заставляя его создавать уязвимости в защищённых кодовых базах.

Вредоносный код маскируется под комментарий в формате Markdown, который не отображается при окончательном форматировании текста, оставаясь невидимым для пользователя.

Механизм и последствия

HiddenLayer продемонстрировала атаку, создав репозиторий с таким кодом и предложив ИИ-ассистенту Cursor его использовать. Скрытые инструкции заставили инструмент копировать вредоносную строку во все новые создаваемые файлы.

По данным компании, уязвимы также инструменты Windsurf, Kiro и Aider. Эта методика может применяться для:

  • создания бэкдоров;

  • скрытого сбора конфиденциальных данных;

  • вывода систем из строя;

  • манипуляций с критически важными файлами.

Реакция на заявление Coinbase

Отчёт появился на фоне заявления CEO Coinbase Брайана Армстронга о том, что ИИ уже генерирует до 40% кода биржи, а к следующему месяцу этот показатель планируется увеличить до 50%. Это заявление вызвало критику в отрасли.

  • Основатель Dango Ларри Лью назвал это «тревожным сигналом для бизнеса, связанного с безопасностью».

  • Профессор Университета Карнеги-Меллон Джонатан Олдрич заявил, что требовать определённого уровня использования ИИ — «безумие».

  • Глава Delphi Consulting Ашват Балакришнан назвал цель Coinbase «перформативной» и призвал сосредоточиться на качестве кода.

  • Инвестор Алекс Пиларж отметил, что компания-хранитель активов должна уделять безопасности приоритетное внимание.

Позиция Coinbase

В Coinbase подчеркнули, что весь код, сгенерированный ИИ, проходит обязательную проверку. В корпоративном блоге уточняется, что активнее всего ИИ внедряется в командах, работающих над внешними интерфейсами и «менее чувствительными внутренними системами», а в критически важных для торговли системах — медленнее. Команда разработчиков также отметила, что ИИ — «не панацея».

Жёсткая позиция Армстронга

Ранее Армстронг заявил, что уволил нескольких инженеров, которые саботировали использование ИИ-инструментов после того, как компания закупила на них лицензии. Он признал, что это был «жёсткий подход», который вызвал недовольство, но был необходим для принудительного внедрения новых практик.

你可能也喜歡

扎克伯格,把AI牛市吓了一跳

扎克伯格领导的Meta公司近日宣布,将内部“过剩”的AI算力资源对外出售。这一看似普通的商业决策,却在7月2日引发了AI基础设施板块的剧烈震荡,英伟达、台积电、AMD等硬件巨头股价集体下跌,相关板块一夜损失万亿市值,而Meta自身股价则反向上涨。 市场反应如此强烈,核心在于此举动摇了过去两年AI牛市的核心定价逻辑——“算力永远不够”。整个AI产业的估值循环建立在GPU(图形处理器)极度稀缺的假设之上,从GPU到HBM(高带宽内存)、光模块等环节都因此获得高估值。Meta的举动首次公开传递了“算力可能过剩”的信号。 Meta此举有三层深层动机:一是提高巨额资本开支下算力资源的利用率,在研发间歇期将闲置算力变现;二是战略路径选择,其开源模型Llama不直接盈利,真正的目标是仿效亚马逊AWS,通过提供算力服务构建生态并盈利;三是重新定义AI基础设施,向市场提供“GPU + 训练框架 + 开源模型 + 云服务”的一体化解决方案,而不仅仅是硬件。 资本市场担心的并非Meta多卖几张显卡,而是其背后预示的商业模式变革。如果算力可以便捷地租赁共享,新入局的AI公司可能不再需要大量自购GPU,这将从根本上改变过去基于“每家厂商都必须囤货”的线性增长需求模型,转向基于实际调用量的动态调整。这类似于当年AWS将企业购买服务器的资本支出模式转变为云服务的运营支出模式。 受冲击最大的是CoreWeave这类纯算力租赁公司,它们建立在巨头算力自用、市场缺卡的真空期。面对Meta提供的“算力+软件+模型”的全栈服务,其纯硬件租赁模式的竞争力将面临严峻挑战。 市场暴跌后次日出现反弹,原因是市场经过重新评估后认识到:尽管长期方向可能从“绝对短缺”转向“结构性过剩”,但短期内大模型训练和推理需求依然旺盛,Meta能释放的闲置算力相对于全球总需求仍有限。然而,方向已然改变,这意味着AI产业的驱动逻辑正从“短缺驱动”转向“效率驱动”。未来的竞争将不再是比谁买的卡多,而是比谁能更高效、更低成本地利用已有算力。 扎克伯格的这一动作,像一声发令枪,标志着AI产业单纯依靠囤积算力硬件就能估值暴涨的红利期即将结束,一个比拼运营效率、资产回报率的新时代正在开启。

marsbit11 分鐘前

扎克伯格,把AI牛市吓了一跳

marsbit11 分鐘前

以太坊交易者们,在鲸鱼转移2600万美元后,请密切关注此事,因为…

自跌破1,510美元后,以太坊(ETH)一直在窄幅区间内交易,过去一周徘徊在1,600美元附近。截至发稿,ETH报1,622美元,24小时上涨2.8%。这种平淡的价格走势使得部分投资者减少持仓,另一些则在等待更明确的趋势。 近期,一位在5月下旬至6月期间累计购入约91,945 ETH(当时价值约1.599亿美元)的巨鲸“Satofashi”将16,842 ETH(约2,687万美元)转移至交易所。其平均购入成本约为1,749美元,若此刻出售将面临约266万美元的亏损。不过,其大部分ETH持仓未动,此举可能意在重新配置资产(如用作抵押或轮动资金),而非全面清仓。 与此同时,链上数据显示交易所净流入量连续两日为正,表明有更多ETH转入交易所,这可能带来潜在的抛压。 从技术指标看,尽管市场整体疲软,ETH仍坚守在1,600美元水平。MACD指标虽处于零轴下方,但已形成看涨交叉并升至-64,同时BvB指标也连续两日转为正值。这些迹象表明下行动能正在减弱,市场势头有所改善,但尚不能确认为看涨反转。 综合来看,若改善势头延续,ETH可能向上测试1,777美元;然而,若大额持币者持续向交易所充值,可能增加卖压,导致价格再次考验1,500美元支撑位。当前ETH正处于关键抉择点。

ambcrypto23 分鐘前

以太坊交易者们,在鲸鱼转移2600万美元后,请密切关注此事,因为…

ambcrypto23 分鐘前

交易

現貨
活动图片