AI編碼工具漏洞引發Coinbase網絡安全擔憂

一種新披露的、Coinbase青睞的AI驅動編碼工具漏洞，使公司面臨自傳播惡意軟體的風險，引發了重大的網絡安全擔憂以及Coinbase激進AI採納策略的內部強烈反對。

科技產業在AI編碼工具漏洞下受到審查

美國股市科技板塊情緒出現顯著轉變，尤其是在那些積極在其開發流程中採用人工智能的公司中。加密貨幣交易所Coinbase (COIN) 在一項AI驅動的編碼工具中披露新漏洞後，其股價表現出現下跌，這引發了使用AI進行軟體開發產業更廣泛的網路安全擔憂。

“複製貼上許可證攻擊”詳解

網路安全公司HiddenLayer最近發現的漏洞，被稱為“複製貼上許可證攻擊”，對軟體完整性構成了重大威脅。這種漏洞利用允許惡意程式碼通過將有害指令嵌入看似無害的文件（如 LICENSE.txt 和 README.md）中，在整個程式碼庫中靜默傳播。該攻擊利用了AI模型對這些文檔文件的固有優先級，操縱AI代理複製惡意負載，就好像它是軟體許可證中合法且必不可少的一部分。

HiddenLayer證實，Cursor（據稱受到Coinbase工程師青睞的AI編碼助手），以及Windsurf、Kiro和Aider等其他工具，都容易受到此漏洞利用。惡意程式碼一旦注入，可以創建後門、竊取敏感數據、耗盡系統資源，或破壞開發和生產環境，由於其隱藏在標準文件中的偽裝性質，通常不易被發現。

Coinbase在軟體開發中一直積極採用AI，首席執行官Brian Armstrong表示，該公司40%的日常程式碼是由AI生成的，並有一個雄心勃勃的目標，即到2025年10月達到50%。這一推動，包括強制工程師採用AI開發工具，引發了對速度與強大安全保障之間平衡的批評。

市場反應和投資者謹慎

在這些披露之後，Coinbase股票（COIN）收盤下跌2.52%，儘管交易量大幅飆升34億美元，使該公司在整體市場活動中排名第20位，但這反映了投資者的謹慎。此次下跌凸顯了市場對網路安全風險的敏感性，特別是當它們涉及關鍵開發基礎設施中的系統性漏洞時。與“複製貼上許可證攻擊”相關的營運和聲譽風險增加的可能性似乎對投資者情緒造成了壓力。

AI採納的更廣泛背景和影響

“複製貼上許可證攻擊”凸顯了AI領域和網路安全領域對將AI快速集成到軟體開發中的安全影響日益增長的擔憂。研究表明，相當一部分AI生成的程式碼可能包含漏洞，報告表明高達40%的此類程式碼可能會引入弱點。

Coinbase積極的AI採納策略，使其領先於Microsoft和Google等科技巨頭（它們通常報告20-30%的AI生成程式碼），這強調了行業對效率的追求。然而，專家警告說，這種速度可能會超過嚴格安全審查的能力，使公司容易受到攻擊。

“一種新的‘複製貼上許可證攻擊’病毒已被識別，它可以利用Coinbase工程師青睞的AI編碼工具如Cursor，可能允許駭客悄無聲息地注入惡意軟體並破壞程式碼庫。”

這一事件強調了自動化如何無意中創建新的攻擊向量，如果未能充分保護，可能會損害整個組織和客戶資產。

專家評論強調安全風險

行業專家對AI在任務關鍵型編碼中的高度依賴表示強烈擔憂。網路安全領域的知名人物Larry Lyu將Coinbase的策略稱為：

“對安全敏感型企業來說是一個巨大的危險訊號。”

這些警告強調了將快速AI集成置於既定安全協議之上的感知風險，特別是對於處理大量數位資產的平台。

展望未來：加強審查和安全措施

AI編碼工具中的漏洞預計將導致對積極採用AI生成程式碼的公司網路安全實踐的審查加強。短期內，這可能會影響那些被認為將速度置於安全之上的公司的投資者信心。從長遠來看，預計將促使整個科技行業重新評估AI工具的安全性，可能導致針對AI生成程式碼和金融機構網路安全最佳實踐的新監管指南。

安全專家建議公司實施嚴格的文件掃描，對AI生成的更改進行徹底的手動審查，並部署強大的運行時防禦。此外，開發人員的一個關鍵原則應該是將大型語言模型上下文中的所有數據，尤其是偽裝的提示，視為潛在有害的。該事件明確提醒我們，雖然AI帶來了巨大的生產力提升，但它也帶來了複雜的新安全挑戰，需要警惕和積極的緩解策略。