Vi-rút mới nhắm vào công cụ lập trình AI phổ biến được Coinbase sử dụng
Một công ty an ninh mạng đã phát hiện ra một loại vi-rút mới có thể khai thác lỗ hổng trong Cursor, một công cụ lập trình AI được Coinbase ưa chuộng, để chèn mã độc vào các tổ chức.
Công cụ lập trình AI được ưa chuộng bởi các tổ chức lớn như Coinbase đã được phát hiện có một lỗ hổng bảo mật cho phép tin tặc chèn mã độc và lan truyền nó khắp tổ chức mà không bị phát hiện, theo một công ty an ninh mạng.
Công ty này đã báo cáo rằng một 'Cuộc tấn công Giấy phép CopyPasta' có thể nhúng các hướng dẫn gây hại vào các tệp phát triển phổ biến, tạo ra các lỗ hổng có chủ ý trong các cơ sở mã nguồn vốn an toàn.
Bằng cách lừa AI model tin rằng tải trọng độc hại là một tệp giấy phép cần thiết, cuộc tấn công có thể nhanh chóng lan truyền khắp các cơ sở mã nguồn với ít nỗ lực, công ty giải thích.
Lỗ hổng này chủ yếu được thử nghiệm trên Cursor, công cụ lập trình AI mà đội ngũ kỹ thuật của Coinbase đã rộng rãi áp dụng, với tất cả các kỹ sư Coinbase được báo cáo sử dụng nó vào tháng Hai. Các công cụ lập trình AI khác như Windsurf, Kiro và Aider cũng được phát hiện dễ bị tấn công này.
CopyPasta Lợi Dụng Các Tệp Phổ Biến
Cuộc tấn công CopyPasta chèn các hướng dẫn ẩn, được gọi là 'prompt injections,' vào các tệp như LICENSE.txt và README.md, sau đó có thể ra lệnh cho các công cụ lập trình AI mà không có sự biết của người dùng.
Những hướng dẫn này được che giấu trong các bình luận markdown trong các tệp README, không hiển thị khi tệp được hiển thị ở định dạng cuối cùng.
Bằng cách tạo một kho mã chứa vi-rút và chỉ đạo Cursor sử dụng nó, các lệnh ẩn đã được sao chép thành công vào các tệp mới được tạo bởi công cụ.
Công ty an ninh mạng cảnh báo rằng phương pháp này có thể được sử dụng cho các kết quả nguy hiểm hơn, như cài đặt cửa sau, đánh cắp dữ liệu nhạy cảm, quá tải hệ thống, hoặc can thiệp vào các tệp quan trọng để làm gián đoạn môi trường phát triển và sản xuất.
Tranh Cãi Về Việc Sử Dụng AI của Coinbase
Việc phát hiện ra lỗ hổng này diễn ra giữa lúc tranh cãi về tuyên bố của CEO Coinbase Brian Armstrong rằng AI hiện nay viết đến 40% mã nguồn của công ty, với kế hoạch tăng lên 50% vào tháng tới, gây ra lo ngại về bảo mật.
Larry Lyu, người sáng lập sàn giao dịch phi tập trung Dango, mô tả điều này là một mối lo ngại bảo mật lớn đối với bất kỳ doanh nghiệp nào xử lý dữ liệu nhạy cảm.
Jonathan Aldrich, giáo sư khoa học máy tính tại Đại học Carnegie Mellon, đã chỉ trích việc bắt buộc sử dụng AI ở một mức độ nhất định, tuyên bố rằng điều đó là 'điên rồ' và bày tỏ sự không tin tưởng vào các biện pháp bảo mật của Coinbase.
Các chuyên gia trong ngành như Ashwath Balakrishnan từ Delphi Consulting và người đam mê Bitcoin Alex Pilař nhấn mạnh sự cần thiết cho Coinbase tập trung vào bảo mật và chức năng hơn là mục tiêu sử dụng AI.
Cách Tiếp Cận Thận Trọng của Coinbase Đối Với AI
Để đáp lại sự phản đối, Armstrong làm rõ rằng mã nguồn được tạo bởi AI tại Coinbase phải được xem xét và hiểu rõ, và việc sử dụng nó bị giới hạn ở các khu vực ít nhạy cảm của sàn giao dịch.
Bài viết trên blog của đội ngũ kỹ thuật Coinbase nêu bật rằng việc áp dụng AI phổ biến nhất trong các giao diện người dùng phía trước và các hệ thống phía sau dữ liệu ít nhạy cảm, trong khi các hệ thống phức tạp và quan trọng đã thấy sự áp dụng chậm hơn.
Đội ngũ nhấn mạnh rằng AI trong lập trình không phải là giải pháp toàn diện và nên được sử dụng một cách thận trọng.
Chính Sách AI Nghiêm Ngặt của Armstrong
Armstrong tiết lộ trên một podcast rằng ông đã sa thải các kỹ sư không áp dụng các công cụ AI sau khi Coinbase mua giấy phép cho Cursor và GitHub Copilot.
Ông thừa nhận đã thực hiện một cách tiếp cận 'ngoài vòng pháp luật' bằng cách bắt buộc sử dụng các công cụ AI, đặt thời hạn cho các kỹ sư để bắt đầu sử dụng và đe dọa sẽ gặp những người không tuân thủ vào thứ Bảy.
Tại cuộc họp, Armstrong đã sa thải các kỹ sư không thể đưa ra lý do hợp lý cho việc không sử dụng AI, thừa nhận rằng phương pháp của ông là cứng rắn và không được ưa chuộng bởi một số người.
Theo Cointelegraph
Tin khác
