3 Minutės
AI kodo asistentai atskleisti: paslėptas markdown gali platinti kenkėjišką programinę įrangą per kodų bazes
Kibernetinio saugumo tyrėjai paviešino pavojingą pažeidžiamumą AI palaikomose programavimo asistentėse, leidžiantį užpuolikams įterpti kenkėjiškas instrukcijas į plačiai dalijamus kūrėjų failus — o tada tas instrukcijas tyliai atkartoti organizacijos repozitorijuose. Šį išnaudojimą, pademonstravo kibernetinio saugumo įmonė HiddenLayer, nukreipiantį į tai, kaip AI įrankiai analizuoja markdown failus, tokius kaip LICENSE.txt ir README.md, ir taip paleidžia paslėptus veiksmus.
Ką daro pažeidžiamumas
Įterpdami slaptas komandas markdown komentarų viduje, kurios nematomos renderintoje peržiūroje, užpuolikai gali įtikinti AI kodo asistentus modifikuoti, įterpti ar replikuoti kodą keliose vietose. HiddenLayer perspėja, kad tokios injekcijos gali įdiegti užpakalinius vartus, išgauti paslaptis arba pakeisti kritines sistemas, likdamos giliai paslėptos projekto istorijoje — tai yra rimta AI saugos ir tiekimo grandinės grėsmė.
Įrankiai, kuriuose nustatyta pažeidžiamybė
Įmonė kaip koncepciją naudojo Cursor — AI programavimo asistentą, apie kurį pranešama, kad jis plačiai naudojamas Coinbase inžinerijos komandose. HiddenLayer taip pat nustatė panašias silpnybes kituose AI kūrėjų įrankiuose, įskaitant Windsurf, Kiro ir Aider. Kadangi šie asistentai skirti skaityti ir reaguoti į repozitorijų failus, paslėptos markdown instrukcijos gali būti išnaudotos savarankiškai plintančiai kenkėjiškai programai kurti su minimalia kūrėjo sąveika — tai kelia papildomų rizikų kibernetinės saugos praktikoms ir repos saugumui.
Coinbase agresyvus AI diegimas sulaukia kritikos
Coinbase generalinis vadovas Brian Armstrong neseniai teigė, kad AI sudaro maždaug 40% įmonės kasdienio kodo produkcijos, o tikslas netrukus viršyti 50%. Toks siekis plačiai naudoti AI generuotą kodą — kurį Armstrong, kaip pranešama, skatino viduje — sukėlė stiprią pasipriešinimą iš saugumo ekspertų, kūrėjų ir kripto saugotojų, kurie pabrėžia operatyvinį saugumą ir gerąsias inžinerijos praktikas.
Pramonės ir akademinės reakcijos
Kritikai vadino privalomą AI naudojimą reikšmingu saugumo raudonu vėliava. Decentralizuotos biržos įkūrėjas Larry Lyu įspėjo apie riziką jautriems verslams, o Carnegie Mellon profesorius Jonathan Aldrich sakė, kad tokia politika privers jį abejoti paslaugų saugumu ir saugotais sprendimais. Kiti kripto atstovai šį žingsnį apibūdino kaip performatyvų ir įspėjo, kad didelė kripto birža, tokia kaip Coinbase, turi teikti prioritetą saugiai inžinerijai ir griežtam kodo peržiūrai vietoje tik kiekybinio AI įsisavinimo.
Coinbase atsakas ir platesnės pasekmės kripto saugumui
Coinbase inžinerinė komanda teigė, kad AI naudojimas daugiausia skirtas front-end ir mažiau jautrioms sistemoms, tuo tarpu kritinė biržos infrastruktūra lieka griežtai kontroliuojama. Vis dėlto šis atskleidimas paryškina naują tiekimo grandinės tipo grėsmę blokų grandinės ir kriptovaliutų įmonėms, kurios pasikliauja AI kodo asistentais. Priimant įrankius, kurie spartina vystymą, būtinos tvirtos kodo peržiūros, priklausomybių auditas ir AI modelių saugumo patikros kaip esminės gynybos priemonės.
Atskirai Coinbase toliau plečiasi tarptautiniu mastu ir 2025 m. buvo pavadinta TIME 'Disruptor' tarp įtakingiausių įmonių. Birža neseniai gavo ES licenciją pagal MiCA sistemą Liuksemburge, pabrėždama augančią reguliacinę pėdsaką, tuo pačiu metu kai saugumo debatai intensyvėja.
Šaltinis: cryptonews
Palikite komentarą