3 Minuty
AI asistenti pro kódování odhaleni: skrytý Markdown může propagovat malware napříč kódbázemi
Bezpečnostní výzkumníci zveřejnili nebezpečnou zranitelnost v AI nástrojích pro vývojáře, která by útočníkům umožnila vložit škodlivé instrukce do často sdílených souborů — a tyto instrukce by se pak tiše replikovaly napříč repozitáři organizace. Exploit, který předvedla kyberbezpečnostní firma HiddenLayer, cílí na způsob, jakým AI nástroje parsují Markdown v souborech jako LICENSE.txt a README.md a aktivují tak skryté akce.
Co zranitelnost umožňuje
Vkládáním utajených direktiv do komentářů v Markdownu, které nejsou viditelné v renderovaných zobrazeních, mohou útočníci přimět AI asistenty pro kódování, aby upravovali, vkládali nebo replikovali kód na více místech. HiddenLayer varuje, že takové vložení může nainstalovat zadní vrátka, exfiltrovat tajné klíče nebo změnit kritické systémy, zatímco zůstane hluboko ukryté v historii projektu.
Nástroje prokázané jako zranitelné
Firma použila Cursor — AI asistenta pro kódování, o kterém se uvádí, že je široce adopotvaný v inženýrských týmech Coinbase — jako důkaz konceptu. HiddenLayer také identifikoval podobné slabiny v dalších vývojových AI nástrojích včetně Windsurf, Kiro a Aider. Protože jsou tyto asistenty navrženy tak, aby četly a jednaly podle souborů v repozitářích, lze skryté Markdown instrukce zneužít k vytvoření samorozšiřujícího se malwaru s minimální interakcí vývojáře.
Agresivní nasazení AI v Coinbase vyvolává kritiku
Generální ředitel Coinbase Brian Armstrong nedávno uvedl, že AI je zodpovědná za přibližně 40 % denní produkce kódu společnosti, s cílem brzy překročit 50 %. Tento tlak na masivní nasazení AI generovaného kódu — který měl Armstrong podle zpráv interně prosazovat — vyvolal silnou vlnu odporu mezi odborníky na bezpečnost, vývojáři a správci kryptoměn, kteří zdůrazňují nutnost provozní bezpečnosti.
Reakce průmyslu a akademické obce
Kritici označili povinné zavádění AI za velké bezpečnostní riziko. Zakladatel decentralizované burzy Larry Lyu varoval před riziky pro citlivé provozy a profesor z Carnegie Mellon Jonathan Aldrich uvedl, že ho tato politika odradí od důvěry v depozitní služby. Další hlasy v kryptokomunitě popisovaly tento krok jako performativní a upozorňovaly, že velká kryptoburza jako Coinbase musí upřednostnit bezpečné inženýrské postupy před kvótami adopce.
Reakce Coinbase a širší dopady na bezpečnost krypta
Inženýrský tým Coinbase uvedl, že využití AI je zaměřeno spíše na front-end a méně citlivé systémy, zatímco kritická infrastruktura burzy zůstává přísně kontrolovaná. Přesto toto odhalení poukazuje na novou hrozbu ve stylu supply-chain pro blockchainové a krypto společnosti, které spoléhají na AI asistenty pro kódování. Jak průmysl přijímá nástroje, které urychlují vývoj, stává se zásadními obrannými prvky důkladná kontrola kódu, audit závislostí a bezpečnostní kontroly AI modelů.
Odděleně Coinbase pokračuje v globální expanzi a byl jmenován jednou z firem roku 2025 v seznamu TIME "Disruptor" mezi nejvlivnějšími společnostmi. Burza nedávno získala licenci EU podle rámce MiCA přes Lucembursko, což podtrhuje její rostoucí regulační působnost i přes rostoucí debaty o bezpečnosti.
Zdroj: cryptonews
Komentáře