对 Coinbase 的 AI 编码助手的分析揭示了一种被称为“CopyPasta”的新型提示注入漏洞。攻击者将在项目文件(包括 README.md 和 LICENSE.txt)中的 markdown 注释中嵌入有害指令。AI 助手将这些注释视为权威信息,导致该工具在每个生成的文件中复制恶意代码。
该漏洞利用了 AI 模型对许可证和文档上下文的依赖。初次读取后,助手在代码合成阶段包含注入的负载,从而使恶意逻辑在整个代码库中持续传播。研究人员证明,单个受损注释可能导致构建过程中植入后门和凭证窃取。
Coinbase 已确认收到漏洞报告,正在进行全面的安全审查。立即采取的措施包括清理文件输入、去除 markdown 注释以及在 AI 提示管道中实施上下文验证。公司计划推出修补后的模型部署,并发布安全使用代码助手的更新指南。同时,外部安全审计也在进行中,以防止类似的供应链攻击。
评论 (0)