Coinbase-in AI kodlaşdırma köməkçisinin təhlili ‘CopyPasta’ adlı yeni prompt inyeksiyası zəifliyini aşkar edib. Hücum edənlər, README.md və LICENSE.txt daxil olmaqla, layihə fayllarındakı markdown şərhlərinə zərərli təlimatlar yerləşdirirlər. Bu şərhlər AI köməkçisi tərəfindən səlahiyyətli hesab edilir və vasitə hər yaradılan faylda zərərli kodu təkrarlayır.
İstismar AI modelinin lisenziya və sənədləşdirmə kontekstlərinə olan asılılığından istifadə edir. İlkin qəbuldan sonra köməkçi kod sintezi mərhələlərində daxil edilmiş yükü əlavə edir və nəticədə zərərli məntiq kod bazasında davamlı yayılır. Tədqiqatçılar göstərdilər ki, tək bir zədələnmiş şərh tikinti proseslərində arxa qapı yerləşdirilməsinə və etimad məlumatlarının oğurlanmasına səbəb ola bilər.
Coinbase zəiflik hesabatının qəbulunu təsdiqləyib və ətraflı təhlükəsizlik yoxlaması aparır. Dərhal atılan addımlar fayl girişlərinin təmizlənməsi, markdown şərhlərinin silinməsi və AI prompt boru xəttində kontekst yoxlanışının həyata keçirilməsini əhatə edir. Şirkət düzəliş edilmiş model paylanmalarını tətbiq etməyi və kod köməkçisinin təhlükəsiz istifadəsi üçün yenilənmiş qaydalar nəşr etməyi planlaşdırır. Oxşar təchizat zənciri hücumlarının qarşısını almaq üçün xarici təhlükəsizlik auditi də davam edir.
Şərhlər (0)