Analisis saka asisten kode AI Coinbase wis mbuktekake kerentanan prompt injection anyar sing dikenal kanthi jeneng 'CopyPasta'. Penyerang nyelemai instruksi berbahaya ing komentar markdown ing file proyek, kalebu README.md lan LICENSE.txt. Komentar-komentar iki dianggep minangka otoritatif dening asisten AI, nyebabake alat kasebut ngasilake kode jahat ing saben file sing digawe.
Eksploitasi iki njupuk keuntungan saka gumantungé model AI marang konteks lisensi lan dokumentasi. Sawise asupan awal, asisten nambah payload sing disusupi nalika fase sintesis kode, ngidini penyebaran logika jahat sing terus-terusan ing saindenging basis kode. Para panaliti wis mbuktèkaké manawa siji komentar sing dikompromikaké bisa nyebabake penyisipan backdoor lan nyolong kredensial sajrone proses pembangunan.
Coinbase wis konfirmasi nampa laporan kerentanan kasebut lan saiki lagi nganakake tinjauan keamanan sing jero. Langkah langsung kalebu nyaring input file, mbusak komentar markdown, lan ngetrapake validasi konteks ing jalur prompt AI. Perusahaan ngrancang kanggo ngeculake deployment model sing wis diberi patch lan nerbitake pedoman anyar kanggo panggunaan asisten kode sing aman. Audit keamanan eksternal uga lagi dilakoni kanggo nyegah serangan rantai pasokan sing padha.
Komentar (0)