Analisis pembantu pengkodan AI Coinbase telah mendedahkan kelemahan suntikan prompt baru yang dikenali sebagai ‘CopyPasta’. Penyerang menyisipkan arahan berbahaya dalam ulasan markdown dalam fail projek, termasuk README.md dan LICENSE.txt. Ulasan ini dianggap sah oleh pembantu AI, menyebabkan alat tersebut menggandakan kod berniat jahat dalam setiap fail yang dihasilkan.
Eksploitasi ini memanfaatkan kebergantungan model AI pada konteks lesen dan dokumentasi. Selepas pencernaan awal, pembantu memasukkan muatan yang disuntik semasa fasa sintesis kod, membolehkan penyebaran berterusan logik berniat jahat di seluruh pangkalan kod. Penyelidik menunjukkan bahawa satu ulasan yang terjejas boleh menyebabkan penyisipan pintu belakang dan kecurian kelayakan semasa proses binaan.
Coinbase telah mengesahkan penerimaan laporan kelemahan tersebut dan sedang menjalankan tinjauan keselamatan yang menyeluruh. Langkah segera termasuk membersihkan input fail, menghapuskan ulasan markdown, dan melaksanakan pengesahan konteks dalam saluran prompt AI. Syarikat merancang untuk melancarkan penyebaran model yang telah dibaiki dan menerbitkan garis panduan terkini bagi penggunaan selamat pembantu kod. Audit keselamatan luaran juga sedang dijalankan untuk mencegah serangan rantaian bekalan yang serupa.
Komen (0)