آسیب پذیری در دستیارهای کدنویسی هوش مصنوعی: Markdown مخفی می تواند بدافزار را در مخازن منتشر کند

آسیب پذیری در دستیارهای کدنویسی هوش مصنوعی: Markdown مخفی می تواند بدافزار را در مخازن منتشر کند

+ نظرات

4 دقیقه

آسیب‌پذیری در دستیارهای کدنویسی هوش مصنوعی: Markdown مخفی می‌تواند بدافزار را در مخازن منتشر کند

محققان امنیتی یک آسیب‌پذیری خطرناک در دستیارهای کدنویسی مجهز به هوش مصنوعی را افشا کرده‌اند که می‌تواند به مهاجمان اجازه دهد دستورالعمل‌های مخرب را در فایل‌های پرانتشار بین توسعه‌دهندگان تزریق کنند — و سپس آن دستورالعمل‌ها به‌صورت خاموش در سراسر مخازن یک سازمان تکثیر شوند. این سوءاستفاده، که شرکت امنیت سایبری HiddenLayer آن را نشان داد، از نحوهٔ پارس کردن مارک‌داون در فایل‌هایی مانند LICENSE.txt و README.md توسط ابزارهای هوش مصنوعی سوءاستفاده می‌کند تا عملیات پنهانی را فعال کند.

نحوه عملکرد این آسیب‌پذیری

با قرار دادن دستورهای محرمانه در کامنت‌های مارک‌داون که در نماهای رندرشده قابل‌رویت نیستند، مهاجمان می‌توانند دستیارهای کدنویسی هوش مصنوعی را متقاعد کنند کد را تغییر دهند، وارد کنند یا در چند محل تکثیر کنند. HiddenLayer هشدار می‌دهد این تزریق‌ها می‌تواند درگاه‌های پشتی نصب کند، اسرار را خارج سازد، یا سیستم‌های حساس را تغییر دهد در حالی که عمیقاً در تاریخچهٔ پروژه پنهان باقی می‌ماند.

ابزارهای نشان‌داده‌شده به عنوان آسیب‌پذیر

این شرکت برای نمونهٔ اثبات مفهوم از Cursor — یک دستیار کدنویسی مبتنی بر هوش مصنوعی که گزارش شده در تیم‌های مهندسی Coinbase به‌طور گسترده استفاده می‌شود — استفاده کرد. HiddenLayer همچنین ضعف‌های مشابهی را در سایر ابزارهای توسعهٔ هوش مصنوعی از جمله Windsurf، Kiro، و Aider شناسایی کرد. از آنجا که این دستیارها طوری طراحی شده‌اند که فایل‌های مخزن را بخوانند و روی آن‌ها عمل کنند، دستورهای مارک‌داون مخفی می‌توانند برای تولید بدافزار خودتکثیر با حداقل تعامل توسعه‌دهنده مورد سوءاستفاده قرار گیرند.

عرضهٔ گستردهٔ هوش مصنوعی در کوین‌بیس با انتقاد روبه‌رو شد

مدیرعامل Coinbase، برایان آرمسترانگ، اخیراً گفت هوش مصنوعی مسئول حدود ۴۰٪ از تولید روزانهٔ کد شرکت است و هدف این است که به‌زودی از ۵۰٪ عبور کند. این حرکت به سمت تولید گستردهٔ کد توسط هوش مصنوعی — که گزارش شده آرمسترانگ آن را در داخل شرکت نیز اعمال کرده است — باعث واکنش شدید کارشناسان امنیت، توسعه‌دهندگان و حضانت‌کنندگان رمزنگاری شده که بر ضرورت ایمنی عملیاتی تأکید دارند.

واکنش‌های صنعت و دانشگاه

منتقدان اتخاذ اجباری هوش مصنوعی را یک هشداری بزرگ امنیتی توصیف کردند. بنیان‌گذار صرافی غیرمتمرکز لری لیو دربارهٔ خطر برای کسب‌وکارهای حساس هشدار داد، و پروفسور جاناتان الدریچ از دانشگاه کارنگی ملون گفت این سیاست او را در اعتماد به خدمات حضانتی محتاط‌تر می‌کند. دیگر فعالان حوزهٔ رمزنگاری این حرکت را نمایشی خوانده و هشدار داده‌اند که یک صرافی بزرگ رمزارز مانند Coinbase باید اولویت را به روش‌های مهندسی امن‌تر بدهد تا اهداف صرفاً میزان‌پذیری استفاده از هوش مصنوعی.

پاسخ کوین‌بیس و پیامدهای گسترده‌تر برای امنیت رمزارز

تیم مهندسی Coinbase گفته است استفاده از هوش مصنوعی بیشتر روی رابط کاربری و سیستم‌های کم‌حساس متمرکز است، در حالی که زیرساخت‌های حساس صرافی همچنان کنترل‌شده باقی مانده‌اند. با این حال، این افشا یک تهدید جدید به‌سبک زنجیرهٔ تأمین را برای شرکت‌های بلاک‌چین و رمزارز که به دستیارهای کدنویسی هوش مصنوعی وابسته‌اند، برجسته می‌کند. با پذیرش ابزارهایی که توسعه را سرعت می‌بخشد، بازبینی دقیق کد، ممیزی وابستگی‌ها و بررسی‌های ایمنی مدل‌های هوش مصنوعی به دفاع‌های ضروری تبدیل می‌شوند.

به‌صورت جداگانه، Coinbase همچنان در حال گسترش جهانی است و در فهرست شرکت‌های تاثیرگذار TIME برای ۲۰۲۵ به‌عنوان یک «مختل‌کننده» (Disruptor) نام برده شد. این صرافی اخیراً مجوزی در اتحادیهٔ اروپا تحت چارچوب MiCA از طریق لوکزامبورگ به‌دست آورده است که نشان‌دهندهٔ افزایش حضور مقرراتی آن است، حتی در حالی که بحث‌های امنیتی تشدید می‌شود.

منبع: cryptonews

ارسال نظر

نظرات

مطالب مرتبط