4 Minute
Asistenți AI pentru cod expuși: markdown ascuns poate propaga malware în codebase-uri
Cercetători în securitate au dezvăluit o vulnerabilitate periculoasă în asistenții de programare alimentați de AI, care ar putea permite atacatorilor să injecteze instrucțiuni malițioase în fișiere larg partajate de dezvoltatori — iar acele instrucțiuni să fie reproduse silențios în repository-urile unei organizații. Exploitul, demonstrat de firma de securitate cibernetică HiddenLayer, vizează modul în care instrumentele AI parsează markdown în fișiere precum LICENSE.txt și README.md pentru a declanșa acțiuni ascunse.
Ce face vulnerabilitatea
Prin încorporarea de directive ascunse în comentarii markdown care nu sunt vizibile în vizualizările redate, atacatorii pot determina asistenții AI pentru cod să modifice, să insereze sau să replice cod în multiple locații. HiddenLayer avertizează că astfel de injecții ar putea instala backdoor-uri, exfiltra secrete sau altera sisteme critice, rămânând profund îngropate în istoricul proiectului.
Instrumente arătate ca vulnerabile
Firma a folosit Cursor — un asistent AI pentru programare raportat ca fiind utilizat pe scară largă în echipele de inginerie ale Coinbase — ca proof of concept. HiddenLayer a identificat, de asemenea, slăbiciuni similare în alte unelte pentru dezvoltatori AI, inclusiv Windsurf, Kiro și Aider. Deoarece acești asistenți sunt proiectați să citească și să acționeze pe baza fișierelor din repository-uri, instrucțiunile markdown ascunse pot fi folosite pentru a genera malware auto-răspândit cu o interacțiune minimă din partea dezvoltatorilor.
Rularea agresivă a AI de la Coinbase atrage critici
CEO-ul Coinbase, Brian Armstrong, a declarat recent că AI este responsabilă pentru aproximativ 40% din producția zilnică de cod a companiei, cu un obiectiv de a depăși curând 50%. Această orientare către cod generat pe scară largă de AI — pe care Armstrong ar fi impus-o intern, conform relatărilor — a stârnit reacții puternice din partea experților în securitate, a dezvoltatorilor și a custozilor crypto, care subliniază importanța siguranței operaționale.
Reacții din industrie și mediul academic
Criticii au numit adoptarea obligatorie a AI un semnal major de alarmă pentru securitate. Fondatorul unei burse descentralizate, Larry Lyu, a avertizat asupra riscurilor pentru afaceri sensibile, iar profesorul de la Carnegie Mellon, Jonathan Aldrich, a spus că o astfel de politică l-ar face precaut în privința încrederii în servicii custode. Alte voci din domeniul crypto au descris inițiativa drept performativă și au atras atenția că o mare platformă crypto precum Coinbase trebuie să prioritizeze practicile de inginerie securizată înaintea obiectivelor agresive de adopție.
Răspunsul Coinbase și implicațiile mai largi pentru securitatea crypto
Echipa de inginerie a Coinbase a precizat că utilizarea AI se concentrează mai mult pe front-end și pe sisteme mai puțin sensibile, în timp ce infrastructura critică a exchange-ului rămâne strict controlată. Totuși, dezvăluirea subliniază o nouă amenințare de tip lanț de aprovizionare pentru firmele blockchain și crypto care se bazează pe asistenți AI pentru cod. Pe măsură ce industria adoptă instrumente care accelerează dezvoltarea, revizuirea riguroasă a codului, auditul dependențelor și verificările de siguranță ale modelelor AI devin apărări esențiale.
Separat, Coinbase continuă să se extindă la nivel global și a fost numită în 2025 de revista TIME „Disruptor” printre cele mai influente companii. Exchange-ul a obținut recent o licență în UE în baza cadrului MiCA prin Luxemburg, subliniind amprenta sa de reglementare în creștere, chiar și pe fondul intensificării dezbaterilor despre securitate.
Sursa: cryptonews
Comentarii