Coinbase 的 AI 編碼工具可能被後門利用

Coinbase 首席執行官可能已tron其公司使用人工智能工具 Cursor，但根據網絡安全平臺 HiddenLayer 的說法，此舉可能會使交易所面臨風險。

根據網絡安全公司 HiddenLayer 的最新報告，Coinbase 開發人員最青睞的 AI 編碼助手被發現容易受到網絡攻擊，這種攻擊可能會植入隱藏的惡意軟件並危及整個組織。

HiddenLayer 在週四晚些時候發佈的博客中寫道，此次攻擊通過一種被稱爲“CopyPasta 許可證攻擊”的漏洞暴露了 Cursor 代碼編輯器的弱點，這種方法表面上看似無害，但卻將惡意指令嵌入到常見的開發人員文件中。

HiddenLayer 發現 CopyPasta 攻擊

Cursor 提供智能自動完成、自動代碼建議和實時錯誤檢測功能，幫助開發人員簡化編碼。但在自動運行模式下，軟件可以matic執行命令，研究人員發現了一個漏洞，該漏洞可以繞過旨在防止不安全指令未經批准運行的保護措施。

HiddenLayer 指出， CopyPasta 攻擊利用了 Cursor 內部的系統提示，而這些提示對於軟件許可合規至關重要。它會模仿 GPL 協議之類的許可文本，然後僞裝成 README markdown 文本。

攻擊還使用 markdown 文件中的隱藏註釋和基於語法的輸入將惡意指令僞裝成權威開發人員命令。

HiddenLayer 在其披露中表示：“當與惡意指令結合時，CopyPasta 攻擊能夠同時以混淆的方式將自身複製到新的存儲庫，並將故意的漏洞引入原本安全的代碼庫中。”

在測試中，研究人員使用了一種無害的有效載荷，可以在任何 Python 文件的開頭插入一行代碼。但他們警告說，同樣的方法也可用於安全漏洞，包括植入後門、泄露敏感數據、消耗系統資源或破壞生產環境。

例如，研究人員將其與“Morris II”攻擊等實驗進行了比較，該實驗展示了電子郵件代理在自我複製的同時，如何被誘騙發送垃圾郵件或泄露數據。Morris II 的理論上成功率很高，但在實踐中卻受到限制，因爲電子郵件系統在發送郵件之前仍然需要人工審覈。

HiddenLayer 表示，Windsurf、Kiro 和 Aider 等其他 AI 編程助手也以不易被檢測到的方式將 CopyPasta 漏洞傳播到新文件中。該漏洞由 HiddenLayer 和安全組織 BackSlashdent報告。 

Coinbase 工程師正在進行繁重的 AI 編碼工作

據Cryptopolitan 昨日報道 tron透露，該交易所的工程團隊正在使用 Cursor 作爲其大部分工作的首選工具，並計劃在明年 2 月之前讓“每個 Coinbase 工程師”都使用它。

該公司負責人在 8 月底的播客中告訴 Stripe 聯合創始人約翰·科利森 (John Collison)，他給開發人員一週的時間開始使用 GitHub Copilot 和 Cursor，否則就會丟掉工作。

“我擅自在 Slack 的頻道發帖。人工智能很重要。我們需要你們都學習它，至少要參與其中。在我們進行一些培訓之前，你們不必每天都使用它，但至少在本週末之前要參與其中。如果沒有，我將在週六與所有還沒有參與的人開個會，我想和你們見面，瞭解一下原因。”Armstrong 推測道。

週三，他在 X 上發帖稱，人工智能負責編寫公司多達 40% 的代碼，並預計到下個月這一數字將上升到 50%。

Coinbase 每天編寫的代碼中約有 40% 是由 AI 生成的。我希望到 10 月份能達到 50% 以上。

顯然，這需要審查和理解，而且並非所有業務領域都能使用 AI 生成的代碼。但我們應該儘可能負責任地使用它。pic.twitter.com/Nmnsdxgosp

- Brian ArmstronG（@brian_armstrong） 2025年9月3日

Armstrong 一直是硅谷最積極支持將 AI 融入企業工作流程的人士之一。但他堅持要求工程師採用 AI 編碼工具的做法，卻讓一些社區成員感到不滿。

看到它的位置。在密碼大都會研究中做廣告，並吸引加密貨幣最敏銳的投資者和建築商。