硅谷的最新“創新”給網絡安全團隊帶來了最可怕的噩夢——繞過傳統防禦的自主惡意軟件。
供應鏈破壞
這款由人工智能驅動的開發工具(已集成 Coinbase 等多家大型公司)在企業網絡中注入了自我複製的代碼。無需釣魚郵件或用戶交互。一旦進入網絡,惡意軟件就會通過連接的系統橫向傳播。
零日漏洞利用架構
安全研究人員使用多態加密技術識別了該威脅,即每次感染後都會改變其簽名。傳統的防病毒解決方案無法跟上實時重寫代碼的步伐。
財務影響
雖然高管們擔心違規行為被披露,但真正的損害卻落在了運營基礎設施上。因為沒有什麼比自動化威脅的傳播速度比監管響應速度更快更能體現“有效市場”了。
該事件暴露了人工智能採用的陰暗面——當優化遇到感染時,您的代碼庫就會成為攻擊媒介。
AI代碼助手通過隱藏Markdown暴露於惡意軟件
通過在 Markdown 註釋中嵌入有害指令(通常隱藏在呈現的視圖中),攻擊者可以操縱 AI 代碼助手傳播惡意軟件,而開發人員卻沒有意識到。
HiddenLayer 在週四的報告中表示:“注入的代碼可能會設置後門、竊取敏感數據或操縱關鍵系統,所有這些都會深埋在文件內部。”
該公司使用 Cursor 演示了這一漏洞,據報道,截至 2 月份,每位 Coinbase 工程師都採用了這款 AI 編碼助手。
HiddenLayer 表示,Windsurf、Kiro 和 Aider 等其他工具也存在類似的漏洞。
就在此前一天,Coinbase 首席執行官 Brian Armstrong 聲稱,人工智能目前編寫了公司高達 40% 的代碼,他計劃下個月將這一數字提高到 50%。
該聲明引起了網絡安全專家、開發人員和加密貨幣業內人士的批評,他們警告強制採用人工智能會帶來風險。
去中心化交易所 Dango 的創始人 Larry Lyu 表示:“對於任何對安全敏感的企業來說,這都是一個巨大的危險信號。”
卡內基梅隆大學教授喬納森·奧爾德里奇稱該政策“瘋狂”,並補充說,在聽到該政策後,他不會再將自己的資金託付給 Coinbase。
Coinbase 每天編寫的代碼中約有 40% 是由 AI 生成的。我希望到 10 月份能達到 50% 以上。
顯然,我們需要對其進行審查和理解,而且並非所有業務領域都能使用AI生成的代碼。但我們應該儘可能負責任地使用它。pic.twitter.com/Nmnsdxgosp
Delphi Consulting 的 Ashwath Balakrishnan 稱這一舉措“只是表演性的,而且含糊不清”,而比特幣愛好者 Alex Pilař 則強調,Coinbase 作為主要的加密貨幣託管機構,應該優先考慮安全性,而不是 AI 採用指標。
阿姆斯特朗為這一舉措進行了辯護,稱人工智能生成的代碼仍必須經過審查,並且並未在業務的所有部分使用。
Coinbase 的工程團隊在一篇博客文章中澄清說,人工智能在前端和不太敏感的系統中更為常見,而“系統關鍵型交換系統”仍然受到更謹慎的管理。
然而,阿姆斯特朗在與 Stripe 聯合創始人約翰·科利森 (John Collison) 的播客中承認,他曾在 Coinbase 強制推行 AI 入職培訓,甚至解僱了拒絕使用這些工具的工程師。
“我叛變了,”阿姆斯特朗說。“他們被解僱了。”
《時代》雜誌將 Coinbase 評為 2025 年最具影響力的“顛覆者”
據報道,《時代》雜誌將 Coinbase 評為 2025 年 100 家最具影響力的公司之一,並稱該加密貨幣交易所在塑造美國數字資產政策和市場方面發揮了重要作用,被稱為“顛覆者”。
《時代》雜誌指出,該交易所是行業政策努力的關鍵推動者,並預測 Coinbase 可能成為美國加密貨幣交易的中心樞紐。
除了美國之外,Coinbase 還在擴大其在歐洲的業務範圍,通過盧森堡金融監管機構獲得了歐盟 MiCA 監管框架下的許可。
