Coinbase-тің AI кодтау көмекшісінің талдауы ‘CopyPasta’ деп аталатын жаңа prompt injection осалдығын анықтады. Қауіпті нұсқаулар жобаның файлдарындағы markdown түсініктемелеріне, оның ішінде README.md және LICENSE.txt файлдарына енгізіледі. Бұл түсініктемелер AI көмекшісі тарапынан авторитетті деп қаралады, сол себепті құрал әрбір жасалған файлда зиянды кодты қайталайды.
Эксплойт AI моделінің лицензия және құжаттамалық контекстке тәуелділігін пайдаланады. Бастапқы қабылдаудан кейін, көмекші код синтезінің кезеңдерінде енгізілген зиянды жүктемені қосады, бұл код базасында зиянды логиканың үздіксіз таралуына мүмкіндік береді. Зерттеушілер бір ғана зақымдалған түсініктеменің құрылыста артқы қақпа енгізу мен идентификатор ұрлығына әкелуі мүмкін екенін көрсетті.
Coinbase осалдық туралы хабарламаны алғанын растады және мұқият қауіпсіздік тексеруін жүргізуде. Тезарада қабылданған шараларға файл енгізуін тазарту, markdown түсініктемелерін жою және AI prompt желісінде контексті тексеру кіреді. Компания жамау енгізілген модельдерді шығаруды жоспарлап отыр және код көмекшісін қауіпсіз пайдалану бойынша жаңартылған нұсқаулықтарды жарияламақ. Ұқсас жабдықтау тізбегіндегі шабуылдарды болдырмау үшін сыртқы қауіпсіздік аудиттері де жүргізіліп жатыр.
Пікірлер (0)