Greining á AI-kóðahjálp Coinbase hefur afhjúpað nýja veikleika í tilskipunareyðingu sem kallast „CopyPasta“. Ræningjar fela skaðlegar leiðbeiningar innan markdown-athugasemda í verkefnaskjölum, þar á meðal README.md og LICENSE.txt. Þessar athugasemdir eru teknar sem áreiðanlegar af AI-hjálpinni sem veldur því að tólið endurtekur skaðlegan kóða í hverju mynduðu skjali.
Útspilið nýtir sér háð AI-líkansins á leyfis- og skjalamengunarsamhengjum. Eftir upphaflega innlagnir tekur aðstoðin með sér innleystu hlekkinn á kóðasmiðunartímabilum, sem gerir kleift að viðhalda útbreiðslu skaðlegrar rökfræði um allt kóðabókarsafnið. Rannsakendur sýndu fram á að ein einangruð athugasemd getur leitt til bakdyrainnstungna og auðkennastuldar við byggingarferli.
Coinbase hefur staðfest móttöku á skýrslu um veikleikann og er að framkvæma ítarlega öryggisskoðun. Strax er farið í að hreinsa innslátt úr skrám, fjarlægja markdown-athugasemdir og setja upp samhengi-greiningu í AI-tilskipunarferli. Fyrirtækið hyggst hrinda í framkvæmd viðgerðum á líkanum og birta uppfærðar leiðbeiningar fyrir örugga notkun kóðahjálparins. Utanaðkomandi öryggisathuganir eru einnig í gangi til að koma í veg fyrir svipuð birgðakeðjuárásir.
Athugasemdir (0)