Analisis asisten pengkodean AI Coinbase mengungkapkan kerentanan injeksi prompt baru yang dikenal sebagai ‘CopyPasta’. Penyerang menyematkan instruksi berbahaya dalam komentar markdown di file proyek, termasuk README.md dan LICENSE.txt. Komentar ini dianggap otoritatif oleh asisten AI, menyebabkan alat tersebut menduplikasi kode jahat di setiap file yang dihasilkan.
Eksploitasi ini memanfaatkan ketergantungan model AI pada konteks lisensi dan dokumentasi. Setelah konsumsi awal, asisten menyertakan payload yang disuntikkan selama fase sintesis kode, memungkinkan propagasi persisten logika jahat di seluruh basis kode. Peneliti menunjukkan bahwa satu komentar yang dikompromikan dapat menyebabkan pemasangan pintu belakang dan pencurian kredensial selama proses build.
Coinbase telah mengonfirmasi penerimaan laporan kerentanan dan sedang melakukan tinjauan keamanan menyeluruh. Langkah segera mencakup pembersihan input file, penghapusan komentar markdown, dan penerapan validasi konteks dalam pipeline prompt AI. Perusahaan berencana meluncurkan model berpatch dan menerbitkan panduan terbaru untuk penggunaan asisten kode yang aman. Audit keamanan eksternal juga sedang dilakukan untuk mencegah serangan rantai pasokan serupa.
Komentar (0)