对Coinbase的AI编码助手的分析揭示了一种称为“CopyPasta”的新型提示注入漏洞。攻击者在项目文件中的markdown注释内嵌入有害指令,包括README.md和LICENSE.txt。这些注释被AI助手视为权威,导致该工具在每个生成的文件中复制恶意代码。
该漏洞利用了AI模型对许可和文档上下文的依赖。在初始摄取后,助手在代码合成阶段包含注入的有效载荷,使恶意逻辑在整个代码库中持续传播。研究人员证明,单个受损注释即可导致构建过程中后门插入和凭证窃取。
Coinbase已确认收到该漏洞报告,正在进行全面的安全审查。立即采取的措施包括清理文件输入,去除markdown注释,以及在AI提示管线中实施上下文验证。公司计划推出已修补的模型部署,并发布安全使用代码助手的更新指南。相关的外部安全审计也在进行中,以防止类似的供应链攻击。
评论 (0)