L'analisi dû assistenti di scrittura AI di Coinbase hà rivelatu na nova vulnerabbilità di prompt injection cunziddirata comu 'CopyPasta'. L'attaccanti nseriscinu istruzzioni dannusi dintra li cummenti markdown nta li schedari dû pruggettu, nfini README.md e LICENSE.txt. Chisti cummenti vennu trattati comu autoritativi pi l'assistenti AI, facennu ca l'arnisi riproduci còdici malizziusu nti ogni schedariu giniratu.
L'exploit si basi supra a la dipinnenza dû mudellu AI di li cuntesti di licenza e documentazioni. Doppu l'ingest iniziali, l'assistenti aggancia lu payload nserutu duranti li fasi di sintesi dû còdici, permettendu na prupagazzioni persistenti di logica malizziusa nta tuttu lu codici. I ricircaturi dimustraru ca un sulu cummentu compromissu pò purtari a l'inserimentu di backdoor e arrubbu di credenziali duranti li prucessi di custruzzioni.
Coinbase hà cunfirmatu la ricivuta dû raportu di vulnerabbilità e stà facennu na rivisioni cumpleta di sicurizza. Li passaggi immediati includunu la sanitizzazzioni di l'input di li schedari, la rimuzzioni di cummenti markdown e l'implementazzioni di validazzioni di cuntestu ntô pipeline dû prompt AI. La cumpagnia pianifica di rilasciari mudelli aggiornati e di pubbricari linee guida aggiornati pi un usu sicuru dû assistenti di scrittura. Audit esterni di sicurizza sunnu puru in cursu pi pruteggiri contra attacchi simili nta la catina di suministrazzioni.
Cummenti (0)