دستیاران کدنویسی هوش مصنوعی در معرض خطر: مارک داون مخفی می تواند بدافزار را پخش کند

افشای آسیب‌پذیری در دستیاران کدنویسی هوش مصنوعی: مارک‌داون مخفی می‌تواند بدافزار را در سراسر کدها منتشر کند

پژوهشگران امنیتی یک آسیب‌پذیری خطرناک در دستیاران کدنویسی مبتنی بر هوش مصنوعی را افشا کرده‌اند که می‌تواند به مهاجمان اجازه دهد دستورالعمل‌های مخرب را در فایل‌های توسعه‌دهندگان که به‌صورت گسترده به اشتراک گذاشته می‌شوند تزریق کنند — سپس این دستورالعمل‌ها به‌طور خاموش و خودکار در مخازن یک سازمان تکثیر شوند. این حمله که شرکت امنیت سایبری HiddenLayer آن را نمایش داده، نحوهٔ پردازش مارک‌داون در فایل‌هایی مانند LICENSE.txt و README.md را هدف قرار می‌دهد تا عملیات پنهانی را فعال کند.

عملکرد این آسیب‌پذیری

با جاسازی دستورالعمل‌های پنهان در کامنت‌های مارک‌داون که در نماهای رندر شده قابل مشاهده نیستند، مهاجمان می‌توانند دستیاران کدنویسی هوش مصنوعی را وادار کنند تا کد را در محل‌های متعدد تغییر دهند، وارد کنند یا تکثیر نمایند. HiddenLayer هشدار می‌دهد این تزریق‌ها می‌توانند درِ پشتی نصب کنند، اسرار را خارج سازند یا سیستم‌های حیاتی را دستکاری کنند در حالی که عمیقاً در تاریخچهٔ پروژه مخفی می‌مانند.

ابزارهای آسیب‌پذیر نشان‌داده‌شده

این شرکت از Cursor—یک دستیار کدنویسی هوش مصنوعی که گزارش شده به‌طور گسترده در تیم‌های مهندسی Coinbase استفاده می‌شود—به‌عنوان اثبات مفهوم استفاده کرد. HiddenLayer همچنین ضعف‌های مشابهی را در سایر ابزارهای توسعه مبتنی بر هوش مصنوعی از جمله Windsurf، Kiro و Aider شناسایی کرد. از آنجا که این دستیاران برای خواندن و عمل‌کردن روی فایل‌های مخزن طراحی شده‌اند، دستورالعمل‌های مارک‌داون مخفی می‌توانند برای تولید بدافزار خودتکثیر با حداقل تعامل توسعه‌دهنده مورد سوءاستفاده قرار گیرند.

گسترش تهاجمی هوش مصنوعی در Coinbase مورد انتقاد قرار گرفت

برایان آرمسترانگ، مدیرعامل Coinbase، اخیراً گفت هوش مصنوعی مسئول حدود ۴۰٪ از تولید روزانهٔ کد شرکت است و هدف‌گذاری شده تا به‌زودی بیش از ۵۰٪ شود. این فشار برای تولید گستردهٔ کد توسط هوش مصنوعی — که گفته می‌شود آرمسترانگ در داخل شرکت آن را الزام‌آور کرده — واکنش شدید کارشناسان امنیت، توسعه‌دهندگان و متولیان کریپتو را برانگیخته است که بر ایمنی عملیاتی تأکید دارند.

واکنش‌های صنعت و دانشگاه

منتقدان تصویب اجباری هوش مصنوعی را یک علامت قرمز امنیتی بزرگ خواندند. لری لیو، بنیان‌گذار یک صرافی غیرمتمرکز، دربارهٔ ریسک برای کسب‌وکارهای حساس هشدار داد و جاناتان آلدریچ، استاد دانشگاه کارنگی ملون، گفت این سیاست او را در اعتماد به خدمات نگهداری دارایی محتاط می‌سازد. دیگر صداها در حوزهٔ کریپتو این فشار را نمایشی خواندند و هشدار دادند که یک صرافی بزرگ کریپتو مانند Coinbase باید در اولویت‌گذاری، اصول مهندسی امن را بر اهداف پذیرش مقدم بداند.

واکنش Coinbase و پیامدهای گسترده‌تر برای امنیت کریپتو

تیم مهندسی Coinbase اعلام کرد استفاده از هوش مصنوعی بیشتر بر رابط کاربری و سیستم‌های کم‌حساس متمرکز است، در حالی که زیرساخت‌های حیاتی صرافی به‌دقت کنترل می‌شوند. با این حال، این افشاگری یک تهدید جدید به‌سبک زنجیره تأمین را برای شرکت‌های بلاک‌چین و کریپتو که به دستیاران کدنویسی هوش مصنوعی متکی‌اند، برجسته می‌کند. با پذیرش ابزارهایی که توسعه را تسریع می‌کنند، بازبینی دقیق کد، حسابرسی وابستگی‌ها و بررسی‌های ایمنی مدل‌های هوش مصنوعی به دفاع‌های ضروری تبدیل می‌شوند.

به‌طور جداگانه، Coinbase به گسترش جهانی خود ادامه می‌دهد و در فهرست 'اخلال‌گر'های TIME برای سال ۲۰۲۵ به‌عنوان یکی از تأثیرگذارترین شرکت‌ها نام‌برده شده است. این صرافی اخیراً از طریق لوکزامبورگ مجوزی بر اساس چارچوب MiCA در اتحادیه اروپا کسب کرده که نشان‌دهندهٔ افزایش ردپای نظارتی آن است، حتی در حالی که بحث‌های امنیتی تشدید می‌شوند.

مطلب مرتبط

Read More

دستیار برنامه نویسی GitHub Copilot از مرز ۲۰ میلیون کاربر عبور کرد

دستیابی GitHub Copilot به نقطه عطف ۲۰ میلیون کاربرGitHub Copilot، دستیار هوشمند برنامه‌نویسی مبتنی بر هوش...