Analisis ngeunaan asisten coding AI Coinbase parantos ngungkab kerentanan suntikan prompt anyar anu dikenal salaku 'CopyPasta'. Penyerang nyelipkeun parentah ngabahayakeun dina komentar markdown dina file proyék, kalebet README.md sareng LICENSE.txt. Komentar-komentar ieu dianggap otoritatif ku asisten AI, nyababkeun alat nyalin kode jahat dina unggal file anu dijieun.
Eksploitasi ieu ngamangpaatkeun kakandelan model AI kana konteks lisénsi sareng dokuméntasi. Saatos nyerep awal, asisten ngalebetkeun payload anu disuntikkeun salila fase sintésis kode, ngamungkinkeun panyebaran logika jahat anu tahan lila dina sakumna kode base. Panaliti nembongkeun yén hiji komentar anu diolah tiasa nyababkeun sisipan pintu tukang sareng maling kredensial dina prosés build.
Coinbase parantos mastikeun narima laporan kerentanan éta sareng keur ngalaksanakeun tinjauan kaamanan anu jero. Léngkah langsung kalebet nyaring éntri file, miceun komentar markdown, sareng nerapkeun validasi konteks dina jalur prompt AI. Pausahaan ngarencanakeun ngaluncurkeun déploi modél anu parantos dipatch sareng nerbitkeun pedoman diropéa pikeun pamakean aman asisten kode. Audit kaamanan éksternal ogé keur dilaksanakeun pikeun nyegah serangan ranté pasokan anu sarupa.
Komentar (0)