一种新披露的、Coinbase青睐的AI驱动编码工具漏洞,使公司面临自传播恶意软件的风险,引发了重大的网络安全担忧以及Coinbase激进AI采纳策略的内部强烈反对。
科技行业在AI编码工具漏洞下受到审查
美国股市科技板块情绪出现显著转变,尤其是在那些积极在其开发流程中采用人工智能的公司中。加密货币交易所Coinbase (COIN) 在一项AI驱动的编码工具中披露新漏洞后,其股价表现出现下跌,这引发了使用AI进行软件开发行业更广泛的网络安全担忧。
“复制粘贴许可证攻击”详解
网络安全公司HiddenLayer最近发现的漏洞,被称为“复制粘贴许可证攻击”,对软件完整性构成了重大威胁。这种漏洞利用允许恶意代码通过将有害指令嵌入看似无害的文件(如 LICENSE.txt
和 README.md
)中,在整个代码库中静默传播。该攻击利用了AI模型对这些文档文件的固有优先级,操纵AI代理复制恶意负载,就好像它是软件许可证中合法且必不可少的一部分。
HiddenLayer证实,Cursor(据称受到Coinbase工程师青睐的AI编码助手),以及Windsurf、Kiro和Aider等其他工具,都容易受到此漏洞利用。恶意代码一旦注入,可以创建后门、窃取敏感数据、耗尽系统资源,或破坏开发和生产环境,由于其隐藏在标准文件中的伪装性质,通常不易被发现。
Coinbase在软件开发中一直积极采用AI,首席执行官Brian Armstrong表示,该公司40%的日常代码是由AI生成的,并有一个雄心勃勃的目标,即到2025年10月达到50%。这一推动,包括强制工程师采用AI开发工具,引发了对速度与强大安全保障之间平衡的批评。
市场反应和投资者谨慎
在这些披露之后,Coinbase股票(COIN)收盘下跌2.52%,尽管交易量大幅飙升34亿美元,使该公司在整体市场活动中排名第20位,但这反映了投资者的谨慎。此次下跌凸显了市场对网络安全风险的敏感性,特别是当它们涉及关键开发基础设施中的系统性漏洞时。与“复制粘贴许可证攻击”相关的运营和声誉风险增加的可能性似乎对投资者情绪造成了压力。
AI采纳的更广泛背景和影响
“复制粘贴许可证攻击”凸显了AI领域和网络安全领域对将AI快速集成到软件开发中的安全影响日益增长的担忧。研究表明,相当一部分AI生成的代码可能包含漏洞,报告表明高达40%的此类代码可能会引入弱点。
Coinbase积极的AI采纳策略,使其领先于Microsoft和Google等科技巨头(它们通常报告20-30%的AI生成代码),这强调了行业对效率的追求。然而,专家警告说,这种速度可能会超过严格安全审查的能力,使公司容易受到攻击。
“一种新的‘复制粘贴许可证攻击’病毒已被识别,它可以利用Coinbase工程师青睐的AI编码工具如Cursor,可能允许黑客悄无声息地注入恶意软件并破坏代码库。”
这一事件强调了自动化如何无意中创建新的攻击向量,如果未能充分保护,可能会损害整个组织和客户资产。
专家评论强调安全风险
行业专家对AI在任务关键型编码中的高度依赖表示强烈担忧。网络安全领域的知名人物Larry Lyu将Coinbase的策略称为:
“对安全敏感型企业来说是一个巨大的危险信号。”
这些警告强调了将快速AI集成置于既定安全协议之上的感知风险,特别是对于处理大量数字资产的平台。
展望未来:加强审查和安全措施
AI编码工具中的漏洞预计将导致对积极采用AI生成代码的公司网络安全实践的审查加强。短期内,这可能会影响那些被认为将速度置于安全之上的公司的投资者信心。从长远来看,预计将促使整个科技行业重新评估AI工具的安全性,可能导致针对AI生成代码和金融机构网络安全最佳实践的新监管指南。
安全专家建议公司实施严格的文件扫描,对AI生成的更改进行彻底的手动审查,并部署强大的运行时防御。此外,开发人员的一个关键原则应该是将大型语言模型上下文中的所有数据,尤其是伪装的提示,视为潜在有害的。该事件明确提醒我们,虽然AI带来了巨大的生产力提升,但它也带来了复杂的新安全挑战,需要警惕和积极的缓解策略。