4 دقیقه
افشای آسیبپذیری در دستیاران کدنویسی هوش مصنوعی: مارکداون مخفی میتواند بدافزار را در سراسر کدها منتشر کند
پژوهشگران امنیتی یک آسیبپذیری خطرناک در دستیاران کدنویسی مبتنی بر هوش مصنوعی را افشا کردهاند که میتواند به مهاجمان اجازه دهد دستورالعملهای مخرب را در فایلهای توسعهدهندگان که بهصورت گسترده به اشتراک گذاشته میشوند تزریق کنند — سپس این دستورالعملها بهطور خاموش و خودکار در مخازن یک سازمان تکثیر شوند. این حمله که شرکت امنیت سایبری HiddenLayer آن را نمایش داده، نحوهٔ پردازش مارکداون در فایلهایی مانند LICENSE.txt و README.md را هدف قرار میدهد تا عملیات پنهانی را فعال کند.
عملکرد این آسیبپذیری
با جاسازی دستورالعملهای پنهان در کامنتهای مارکداون که در نماهای رندر شده قابل مشاهده نیستند، مهاجمان میتوانند دستیاران کدنویسی هوش مصنوعی را وادار کنند تا کد را در محلهای متعدد تغییر دهند، وارد کنند یا تکثیر نمایند. HiddenLayer هشدار میدهد این تزریقها میتوانند درِ پشتی نصب کنند، اسرار را خارج سازند یا سیستمهای حیاتی را دستکاری کنند در حالی که عمیقاً در تاریخچهٔ پروژه مخفی میمانند.
ابزارهای آسیبپذیر نشاندادهشده
این شرکت از Cursor—یک دستیار کدنویسی هوش مصنوعی که گزارش شده بهطور گسترده در تیمهای مهندسی Coinbase استفاده میشود—بهعنوان اثبات مفهوم استفاده کرد. HiddenLayer همچنین ضعفهای مشابهی را در سایر ابزارهای توسعه مبتنی بر هوش مصنوعی از جمله Windsurf، Kiro و Aider شناسایی کرد. از آنجا که این دستیاران برای خواندن و عملکردن روی فایلهای مخزن طراحی شدهاند، دستورالعملهای مارکداون مخفی میتوانند برای تولید بدافزار خودتکثیر با حداقل تعامل توسعهدهنده مورد سوءاستفاده قرار گیرند.
گسترش تهاجمی هوش مصنوعی در Coinbase مورد انتقاد قرار گرفت
برایان آرمسترانگ، مدیرعامل Coinbase، اخیراً گفت هوش مصنوعی مسئول حدود ۴۰٪ از تولید روزانهٔ کد شرکت است و هدفگذاری شده تا بهزودی بیش از ۵۰٪ شود. این فشار برای تولید گستردهٔ کد توسط هوش مصنوعی — که گفته میشود آرمسترانگ در داخل شرکت آن را الزامآور کرده — واکنش شدید کارشناسان امنیت، توسعهدهندگان و متولیان کریپتو را برانگیخته است که بر ایمنی عملیاتی تأکید دارند.
واکنشهای صنعت و دانشگاه
منتقدان تصویب اجباری هوش مصنوعی را یک علامت قرمز امنیتی بزرگ خواندند. لری لیو، بنیانگذار یک صرافی غیرمتمرکز، دربارهٔ ریسک برای کسبوکارهای حساس هشدار داد و جاناتان آلدریچ، استاد دانشگاه کارنگی ملون، گفت این سیاست او را در اعتماد به خدمات نگهداری دارایی محتاط میسازد. دیگر صداها در حوزهٔ کریپتو این فشار را نمایشی خواندند و هشدار دادند که یک صرافی بزرگ کریپتو مانند Coinbase باید در اولویتگذاری، اصول مهندسی امن را بر اهداف پذیرش مقدم بداند.
واکنش Coinbase و پیامدهای گستردهتر برای امنیت کریپتو
تیم مهندسی Coinbase اعلام کرد استفاده از هوش مصنوعی بیشتر بر رابط کاربری و سیستمهای کمحساس متمرکز است، در حالی که زیرساختهای حیاتی صرافی بهدقت کنترل میشوند. با این حال، این افشاگری یک تهدید جدید بهسبک زنجیره تأمین را برای شرکتهای بلاکچین و کریپتو که به دستیاران کدنویسی هوش مصنوعی متکیاند، برجسته میکند. با پذیرش ابزارهایی که توسعه را تسریع میکنند، بازبینی دقیق کد، حسابرسی وابستگیها و بررسیهای ایمنی مدلهای هوش مصنوعی به دفاعهای ضروری تبدیل میشوند.
بهطور جداگانه، Coinbase به گسترش جهانی خود ادامه میدهد و در فهرست 'اخلالگر'های TIME برای سال ۲۰۲۵ بهعنوان یکی از تأثیرگذارترین شرکتها نامبرده شده است. این صرافی اخیراً از طریق لوکزامبورگ مجوزی بر اساس چارچوب MiCA در اتحادیه اروپا کسب کرده که نشاندهندهٔ افزایش ردپای نظارتی آن است، حتی در حالی که بحثهای امنیتی تشدید میشوند.
منبع: cryptonews
.avif)
نظرات