Coinbase的首选AI编码工具可以被新病毒劫持
作者:Jesse Coghlan
一家网络安全公司说,被加密交易所Coinbase等人所偏爱的人工智能编码工具具有脆弱性,使黑客可以默默地注射恶意软件并在组织中传播。”
隐藏器报告周四,复发式许可证攻击可以在普通开发人员文件中隐藏恶意说明,以将故意的漏洞引入代码库中,否则将是安全的。
通过说服基本模型,我们的有效载荷实际上是一个重要的许可证文件,必须在代理商编辑的每个文件中都包含在评论中,我们可以快速以最小的努力在整个代码库中分发及时注入。”
Hiddenlayer主要在Coinbase的工程团队的AI驱动的编码工具上进行了光标上的病毒测试说八月是首选工具对于大多数开发人员而言,到2月的每位共同工程师都使用了。
根据Hissinglayer的说法,AI编码工具Windsurf,Kiro和Aider也很容易受到攻击。
复元隐藏在普通文件中
隐藏仪解释说,复元攻击将隐藏的说明或提示注射(可以指示)AI编码工具没有用户知道。
病毒或AI的提示注入被隐藏在降价评论中 - 用于添加用于添加解释器或注释的注释中的文本中,这些说明是在将其呈现为最终格式时所显示的。
Hidden Layerer创建了一个使用病毒的代码存储库,并要求光标使用它,而隐藏的说明使其复制了提示注射到其创建的新文件。
该机制可以改编以取得更邪恶的结果。”
Sideendlayer补充说,注入的代码可能会出演后门,默默地渗透敏感的数据,引入削弱系统的资源耗尽操作,或者操纵关键文件以破坏开发和生产环境。•在被埋葬在内部文件深处以避免立即检测。
Coinbase Boss猛烈抨击疯狂地使用AI
这是在Coinbase首席执行官Brian Armstrong周三表示AI写的多达40%的代码并希望下个月将其扩展到50%,这引起了反弹。
对于任何安全敏感业务而言,这是一个巨大的危险信号,”说分散的交换Dango创始人Larry Lyu。
软件公司领导者:不这样做。AI是一种工具,但是在一定层面上使用其使用是疯狂的,说卡内基·梅隆大学计算机科学教授乔纳森·奥尔德里奇(Jonathan Aldrich)。我对使用Coinbase没有兴趣,但是即使我这样做,我当然也不会用我的钱相信这一点。
Delphi咨询主管Ashwath Balakrishnan称为Coinbase的目标和含糊不清,而应该专注于新功能并修复现有错误,而长期的比特币Alexpilaå说作为一个主要的加密保管人,Coinbase应该优先考虑安全。
Coinbase在不太敏感的数据后端使用AI
但是,阿姆斯特朗在他的帖子中说,需要对AI生成的代码进行审查和理解 - 并非所有交易所都可以使用它,但应尽可能负责地使用它。
有关的:犯罪分子正在以空前的级别的AI进行vibe黑客攻击:拟人化
Coinbase Engineering团队的博客文章说,在从事前端用户界面和不太敏感的数据后端工作的团队中,AI的采用最深,而复杂和系统关键的交换系统的吸收速度较慢。
阿姆斯特朗解雇了开发AI的开发人员
阿姆斯特朗
说在Stripe联合创始人John Collison的播客上,他解雇了工程师,他们在Coinbase购买了光标和Github Copilot的许可后,没有尝试AI工具。他说,被告知要花几个月的时间才能让工程师使用AI,并承认他去了流氓,并告诉所有工程师,他们必须使用这些工具。
我说,AI很重要,我们需要您所有人学习它,至少在船上。
您不必每天都必须使用它,直到我们进行一些培训,但至少到了本周结束,如果没有,我会在周六与所有没有这样做的人举办一次会议,我想与您见面以了解原因,”他说。
在会议上,阿姆斯特朗说,有一些工程师没有使用AI,没有提出一个很好的理由,他们被解雇了。
AI眼:每个人都讨厌GPT-5,AI显示社交媒体可以解决一个
关于《Coinbase的首选AI编码工具可以被新病毒劫持》的评论
暂无评论