كشف تحليل مساعد التكويد بالذكاء الاصطناعي الخاص بشركة Coinbase عن ثغرة جديدة في حقن المطالبات تُعرف باسم"CopyPasta". يقوم المهاجمون بإدراج تعليمات ضارة داخل تعليقات ماركداون في ملفات المشروع، بما في ذلك README.md و LICENSE.txt. تُعتبر هذه التعليقات ذات سلطة من قبل مساعد الذكاء الاصطناعي، مما يؤدي إلى تكرار الأداة للشفرة الخبيثة في كل ملف يتم إنشاؤه.
يستغل الاستغلال اعتماد نموذج الذكاء الاصطناعي على سياقات الترخيص والتوثيق. بعد الاستيعاب الأولي، يتضمن المساعد الحمولة المحقونة أثناء مراحل توليد الشفرة، مما يسمح بانتشار مستمر للمنطق الضار عبر قاعدة الشفرة. أظهر الباحثون أن تعليقًا واحدًا مخترقًا يمكن أن يؤدي إلى إدخال باب خلفي وسرقة بيانات الاعتماد أثناء عمليات البناء.
أكدت Coinbase استلام تقرير الثغرة وتجري مراجعة أمنية شاملة. تشمل الخطوات الفورية تنظيف مدخلات الملفات، إزالة تعليقات الماركداون، وتنفيذ التحقق من السياق في خط أنابيب مطالبات الذكاء الاصطناعي. تخطط الشركة لإطلاق تحديثات نموذجية مصححة ونشر إرشادات محدثة لاستخدام آمن لمساعد التكويد. كما تجري مراجعات أمنية خارجية لمنع هجمات سلسلة التوريد المماثلة.
التعليقات (0)