對 Coinbase 的 AI 程式碼助理進行分析後,發現了一種被稱為「CopyPasta」的新型提示注入漏洞。攻擊者在專案檔案中的 markdown 註解(包括 README.md 和 LICENSE.txt)中嵌入有害指令。AI 助理將這些註解視為權威內容,導致該工具在每個生成的檔案中複製惡意程式碼。
該漏洞利用了 AI 模型對授權及文件說明上下文的依賴。經過初步解析後,助理在程式碼合成階段會包含被注入的 payload,使惡意邏輯能持續擴散至整個程式碼庫。研究人員證明,單一被入侵的註解即可導致後門注入及憑證竊取,發生於建構過程中。
Coinbase 已確認收到該漏洞報告,並正在進行全面的安全審查。立即採取的措施包括清理檔案輸入、剝除 markdown 註解,並在 AI 提示管線中實施上下文驗證。公司計劃推出修補後的模型部署,並發布針對程式碼助理安全使用的更新指南。外部安全審計也正在進行,以防止類似供應鏈攻擊發生。
評論 (0)