Coinbase的AI编码工具曝出“CopyPasta”攻击漏洞

近日，一种针对人工智能（AI）编码助手的新漏洞引发了开发者社区的高度关注。若未采取充分的安全防护措施，包括加密货币交易所Coinbase在内的企业可能面临潜在攻击风险。

据网络安全公司HiddenLayer于周四披露的信息，攻击者可利用所谓的“CopyPasta许可证攻击”，将隐藏指令注入常见的开发人员文件中。

该漏洞主要影响Cursor——一款由Coinbase设计的AI驱动编码工具。八月表示，Cursor是Coinbase团队广泛使用的AI工具之一，并称“Coinbase的每一位工程师”都在使用Cursor。

攻击如何运作

这种技术利用了AI编码助手将许可文件视为权威指令的特性。通过在LICENSE.txt等文件中嵌入恶意payload（通常以Markdown注释形式隐藏），攻击者可以误导模型认为这些指令必须被保存，并在其接触的每个文件中复制。

一旦AI接受了“许可证”的合法性，它便会自动将注入的代码传播到新的或编辑的文件中，无需用户直接输入即可完成传播。

这种方法能够绕过传统的恶意软件检测机制，因为恶意命令伪装成了无害的文档，从而在开发人员不知情的情况下扩散至整个代码库。

HiddenLayer的研究人员在报告中演示了如何诱骗Cursor添加后门、窃取敏感数据或运行资源密集型命令——所有这些操作均隐藏在看似无害的项目文件中。

该公司指出：“注入的代码可能会设置后门，悄悄窃取敏感数据或操纵关键文件。”

Coinbase首席执行官Brian Armstrong在周四透露，该交易所约40%的代码由AI生成，并计划在下个月将这一比例提升至50%。

不过，阿姆斯特朗澄清说，Coinbase的AI辅助编码主要集中于用户界面和非敏感后端部分，而“复杂和系统关键系统”的采用速度较慢。

“潜在的恶意”

尽管如此，针对Coinbase首选工具的新型威胁还是加剧了业界的批评。

AI即时注入并非新鲜事物，但CopyPasta方法通过实现半自主传播进一步提升了威胁模型。受感染的文件不再仅限于单个用户，而是成为感染所有读取这些文件的AI代理的载体，从而跨存储库引发连锁反应。

与早期AI类似Morris II的“蠕虫”概念相比，CopyPasta不仅劫持电子邮件代理发送垃圾邮件或窃取数据，还更加隐蔽，因为它利用了受信任的开发人员工作流程。它不需要用户批准或交互，而是将自身嵌入到每个编码代理都会自然引用的文件中。

由于Morris II缺乏对电子邮件活动的人工检查，而CopyPasta却因隐藏在开发人员很少仔细检查的内部文档中而得以蓬勃发展。

安全团队目前敦促各组织扫描文件中的隐藏评论，并手动审查所有AI生成的更改。

HiddenLayer警告称：“所有进入LLM上下文的不受信任数据都应被视为潜在恶意数据”，并呼吁在基于提示的攻击进一步扩大之前进行系统性检测。

(CoinDesk已联系Coinbase征求对攻击媒介的评论。）