AI 編碼工具爆資安漏洞！開源專案恐成加密貨幣攻擊新入口

以下是根據您的要求，依照加密貨幣專業新聞撰寫指引所改寫的文章內容，使用繁體中文呈現：

根據區塊鏈安全公司 SlowMist 於 8 日（當地時間）發佈的報告指出，主流整合開發環境（IDE）與 AI 編碼輔助工具中出現重大「安全漏洞」，可能成為駭客盜取「加密貨幣」的新手段。只需開啟一個含有惡意內容的專案資料夾，無需任何使用者互動，就可能導致整個系統遭到「駭客入侵」，引發開發社群高度警惕。

SlowMist 警告，這項漏洞利用一種名為「提示注入（Prompt Injection）」的攻擊技術，駭客可將惡意指令藏於像是 LICENSE.txt 或 README.md 等文件中。當 AI 編碼工具讀取這些檔案時，可能無意間將這些惡意訊息轉化為執行指令，進一步感染整個程式碼環境。

此次漏洞在 Windows 與 macOS 系統皆可觸發，針對使用 AI 開發工具「Cursor」的開發者風險尤其顯著。這款工具因具備高效率的 AI 編輯功能，正於工程師社群中快速擴散。

根據先前網路安全公司 HiddenLayer 於 2025 年 9 月提出的研究，該漏洞被命名為「CopyPasta License 攻擊」，不僅 Cursor，還包括 Windsurf、Kiro 與 Aider 等開源工具皆為潛在受害目標。研究更指出，僅透過開啟惡意專案，即可在無使用者操作下，導致組織層級的「整體專案感染」，產生供應鏈層級的安全風險。

評論：面對此類攻擊，依賴 AI 工具開發的企業用戶應立刻重審其開發流程與防護措施，特別是如何過濾或監控 README、LICENSE 這類檔案中的潛在惡意內容。

AI 工具廣泛落地　Coinbase 積極導入引發安全爭議

這項漏洞在快速推進 AI 編碼應用的產業中，可能帶來更廣泛衝擊。Coinbase(COIN) 執行長布萊恩·阿姆斯壯（Brian Armstrong）曾於先前公開宣布，預計在 10 月前將公司內部「AI 撰寫程式碼占比提升至 50%」。為加快佈局，他甚至向員工下達「一週內未導入 AI 工具即可能遭解雇」的激進方針，此舉引發業界熱議。

對此，卡內基美隆大學教授喬納森·奧德里奇（Jonathan Aldrich）直言：「這是瘋狂的策略。我不會把任何資產交給這樣操作的組織。」Dango 創辦人拉里·呂（Larry Lü）也指出：「若是一家資安風險敏感的企業，這種舉措等同發出『我們不重視防護』的危險訊號。」

評論：AI 編碼雖然提升效率，但若忽視基礎安全審核機制，反而可能為整體業務運營帶來巨大潛在風險。

北韓發動國家級攻擊　區塊鏈開發者成首當其衝目標

SlowMist 進一步提醒，這類 AI 攻擊漏洞已加劇與現有「國家級駭客集團」的威脅融合。根據 Google 於 2024 年 2 月的威脅通報指出，北韓駭客組織 UNC5342 利用以太坊(ETH)與幣安智能鏈（BNB Smart Chain）上的「惡意智慧合約」，建立指令控制主機，進行伺服器滲透。

這些智慧合約藏有以 JavaScript 撰寫的 BeaverTail 與 OtterCookie 惡意碼，透過偽裝成「應徵面試任務」的 NPM 套件傳送給開發者。該手法只用「唯讀呼叫」即可傳遞指令，並未在鏈上留下交易紀錄，因此更難為「執法機關」所追查，被命名為「EtherHiding」。

此外，該組織甚至註冊「美國境內假公司」，在真實地址登記法人，與社交工程技術搭配施行名為「傳染式面試（Contagious Interview）」的社交詐騙。開發者本身因掌握資產授權資訊與關鍵程式邏輯，成為高價值攻擊對象。

評論：在國際資安戰略下，開發者不再只是「撰寫程式」的角色，而是直接關聯資產安全的關鍵節點。

AI 發現零時差漏洞　區塊鏈規模級自動駭入恐現實化

AI 的潛能不僅帶動效率革命，同時也可能強化攻擊能力。根據 AI 新創公司 Anthropic 發表的研究結果顯示，其模型（包括 GPT-5 與 Claude Opus 4.5）在內部模擬測試環境中，能主動偵測智慧合約中的「零時差漏洞（Zero-Day Exploits）」，並預判如何加以利用。

研究指出，僅花費約 3,476 美元（約新台幣 10 萬元）API 成本，AI 工作用於分析真實鏈上合約時，即能各自發現兩處新漏洞，可能實現高達 3,694 美元（約台幣 11 萬元）資產盜取。模擬總值甚至達「5 億 5,010 萬美元」（約新台幣 799 億元）潛在風險。

Anthropic 指出，AI 閱讀與程式分析效能將持續優化，使其針對區塊鏈自動化「駭入攻擊」的成本降低，而規模性、多目標的攻擊將可能成為惡意使用者的主流手法。

根據 Chainabuse 報告，一年內「AI 驅動詐騙」激增 456%。分析發現，AI 已能自動生成虛假身份、聲音與交談內容，並佔據整體騙局相關錢包入金的「六成以上」。

評論：AI 不僅是開發工具，也是潛在的駭客助手。區塊鏈安全單靠傳統監控手法已無法應對當前威脅，業界需要提前部署 AI 輔佐的安全防衛線。

總結

面對 AI 快速滲透開發流程，「加密貨幣」與「區塊鏈」產業正遭遇前所未見的情報安全挑戰。從「提示注入」到「智慧合約感染」，再到北韓駭客與 AI 主導的零時差漏洞攻擊，新型態網路風險正迅速擴大。專家呼籲開發人員應強化「開源代碼審查」、避免無視「AI 工具的安全檢視」，以避免潛在「供應鏈層級」的重大資安事故。

📌 關鍵詞：AI 編碼工具、加密貨幣、智慧合約、提示注入、區塊鏈安全、北韓駭客、零時差漏洞、Cursor 開發工具、AI 詐騙、自動化攻擊

若需深入了解此議題背後的技術與安全建議，歡迎參考 Chainabuse、Anthropic、SlowMist 等研究報告。