硅谷的最新“创新”给网络安全团队带来了最可怕的噩梦——绕过传统防御的自主恶意软件。
供应链破坏
这款由人工智能驱动的开发工具(已集成 Coinbase 等多家大型公司)在企业网络中注入了自我复制的代码。无需钓鱼邮件或用户交互。一旦进入网络,恶意软件就会通过连接的系统横向传播。
零日漏洞利用架构
安全研究人员使用多态加密技术识别了该威胁,即每次感染后都会改变其签名。传统的防病毒解决方案无法跟上实时重写代码的步伐。
财务影响
虽然高管们担心违规行为被披露,但真正的损害却落在了运营基础设施上。因为没有什么比自动化威胁的传播速度比监管响应速度更快更能体现“有效市场”了。
该事件暴露了人工智能采用的阴暗面——当优化遇到感染时,您的代码库就会成为攻击媒介。
AI代码助手通过隐藏Markdown暴露于恶意软件
通过在 Markdown 注释中嵌入有害指令(通常隐藏在呈现的视图中),攻击者可以操纵 AI 代码助手传播恶意软件,而开发人员却没有意识到。
HiddenLayer 在周四的报告中表示:“注入的代码可能会设置后门、窃取敏感数据或操纵关键系统,所有这些都会深埋在文件内部。”
该公司使用 Cursor 演示了这一漏洞,据报道,截至 2 月份,每位 Coinbase 工程师都采用了这款 AI 编码助手。
HiddenLayer 表示,Windsurf、Kiro 和 Aider 等其他工具也存在类似的漏洞。
就在此前一天,Coinbase 首席执行官 Brian Armstrong 声称,人工智能目前编写了公司高达 40% 的代码,他计划下个月将这一数字提高到 50%。
该声明引起了网络安全专家、开发人员和加密货币业内人士的批评,他们警告强制采用人工智能会带来风险。
去中心化交易所 Dango 的创始人 Larry Lyu 表示:“对于任何对安全敏感的企业来说,这都是一个巨大的危险信号。”
卡内基梅隆大学教授乔纳森·奥尔德里奇称该政策“疯狂”,并补充说,在听到该政策后,他不会再将自己的资金托付给 Coinbase。
Coinbase 每天编写的代码中约有 40% 是由 AI 生成的。我希望到 10 月份能达到 50% 以上。
显然,我们需要对其进行审查和理解,而且并非所有业务领域都能使用AI生成的代码。但我们应该尽可能负责任地使用它。pic.twitter.com/Nmnsdxgosp
Delphi Consulting 的 Ashwath Balakrishnan 称这一举措“只是表演性的,而且含糊不清”,而比特币爱好者 Alex Pilař 则强调,Coinbase 作为主要的加密货币托管机构,应该优先考虑安全性,而不是 AI 采用指标。
阿姆斯特朗为这一举措进行了辩护,称人工智能生成的代码仍必须经过审查,并且并未在业务的所有部分使用。
Coinbase 的工程团队在一篇博客文章中澄清说,人工智能在前端和不太敏感的系统中更为常见,而“系统关键型交换系统”仍然受到更谨慎的管理。
然而,阿姆斯特朗在与 Stripe 联合创始人约翰·科利森 (John Collison) 的播客中承认,他曾在 Coinbase 强制推行 AI 入职培训,甚至解雇了拒绝使用这些工具的工程师。
“我叛变了,”阿姆斯特朗说。“他们被解雇了。”
《时代》杂志将 Coinbase 评为 2025 年最具影响力的“颠覆者”
据报道,《时代》杂志将 Coinbase 评为 2025 年 100 家最具影响力的公司之一,并称该加密货币交易所在塑造美国数字资产政策和市场方面发挥了重要作用,被称为“颠覆者”。
《时代》杂志指出,该交易所是行业政策努力的关键推动者,并预测 Coinbase 可能成为美国加密货币交易的中心枢纽。
除了美国之外,Coinbase 还在扩大其在欧洲的业务范围,通过卢森堡金融监管机构获得了欧盟 MiCA 监管框架下的许可。
