新聞 
幣種資訊 
關於我們 
根據資安公司 HiddenLayer 的報導,於 5 日(當地時間)發布的一項研究指出,人工智慧(AI)協助編程工具面臨重大資安威脅。該公司揭露了一種名為「CopyPasta License Attack」的新型攻擊手法,可悄悄透過開發文件中的隱藏程式碼,對包括美國加密貨幣交易所 Coinbase 開發團隊廣泛使用的 AI 開發工具「Cursor」在內的系統植入「組織層級擴散的惡意指令」,潛藏極高風險。
此攻擊運用了常見於開源專案中的 LICENSE.txt 或 README.md 檔案,駭客會將惡意命令藏於這些檔案的 Markdown 註解中,讓這些指令在開發者毫不知情的情況下,由 AI 編碼工具自動執行。不僅如此,Markdown 註解在渲染時不會顯示於畫面上,增加了識別與防範的困難,進而可能對專案注入「人為弱點」或有意圖的安全漏洞。
HiddenLayer 特別指出,此次實驗以 Coinbase 團隊常用的「Cursor」為範例。根據今年 2 月的資料顯示,Cursor 已成為 Coinbase 全體工程師廣泛部署的開發輔助工具。該公司表示:「我們設計的惡意載荷會被誤認為是普通的授權檔,自動進入 Cursor 的修改流程中,進而快速擴散至整個程式碼庫。」
除了 Cursor,其他如 Windsurf、Kiro 與 Aider 等 AI 程式設計工具也同樣面臨類似風險。這些工具在無需使用者互動的狀況下,也可能會讀取外部命令並自動寫入程式,可導致潛在的重大安全隱憂。
專家警告,隨著 AI 工具在軟體開發中的應用日益普遍,類似這種「惡意提示詞注入(prompt injection)」的攻擊方式將成為主流威脅。「AI 不僅是自動化工具,更可能成為影響完整開發環境的模糊防線」,評論指出。
HiddenLayer 表示,針對這類 AI 驅動開發流程中潛藏的「不可見安全風險」,未來將持續發布更多研究與警示事件,提醒業界持續關注 AI 應用所衍生的潛在風險。由於目前該攻擊技術仍具備實際運行能力,因此使用 AI 編程工具的開發者應保持高度警覺。
關鍵詞:Cursor、AI 編碼工具、CopyPasta License Attack、資安風險、Coinbase
留言 0