Analiza AI pomočnika za kodiranje Coinbase je razkrila novo ranljivost vbrizgavanja pozivov, znano kot 'CopyPasta'. Napadalci vstavijo škodljiva navodila v komentarje Markdown v datotekah projekta, vključno z README.md in LICENSE.txt. Ti komentarji so AI pomočniku obravnavani kot avtoritativni, zaradi česar orodje podvaja zlonamerno kodo v vsaki generirani datoteki.
Izraba ranljivosti temelji na odvisnosti AI modela od kontekstov licenc in dokumentacije. Po začetnem vnosu pomočnik med fazami sestavljanja kode vključuje vbrizgano vsebino, kar omogoča trajno širjenje škodljive logike po celotni kodi. Raziskovalci so pokazali, da lahko en sam kompromitiran komentar vodi do vstavitve zadnjih vrat in kraje poverilnic med gradnimi procesi.
Coinbase je potrdil prejem poročila o ranljivosti in izvaja temeljit varnostni pregled. Takojšnji ukrepi vključujejo čiščenje vhodnih datotek, odstranjevanje komentarjev Markdown in izvajanje preverjanja konteksta v verigi pozivov AI. Podjetje načrtuje uvedbo popravljenih modelov in objavo posodobljenih smernic za varno uporabo pomočnika za kodiranje. Potekajo tudi zunanji varnostni pregledi za preprečevanje podobnih napadov na dobavne verige.
Komentarji (0)