仮想通貨手数料還付プラットフォーム - ヘイモアロゴ

仮想通貨分析

コインベースのAIコーディングツール、バックドアで悪用される可能性

2025-09-05 18:15

Coinbase’s AI coding tool could be exploited through a backdoor

CoinbaseのCEOは、AIツールCursorを使用するために彼の会社を強く武装させたかもしれないが、サイバーセキュリティプラットフォームHiddenLayerによると、その動きは取引所を危険にさらす可能性がある。サイバーセキュリティ企業HiddenLayerの新しいレポートによると、Coinbaseの開発者が最も好んで使用しているAIコーディングアシスタントは、隠れたマルウェアを埋め込み、組織全体を危険にさらすサイバー攻撃に対して脆弱であることが判明した。木曜日遅くに公開されたブログの中で、HiddenLayerは、この攻撃は「CopyPastaライセンス攻撃」として知られるエクスプロイトを通してCursorのコードエディタの弱点を暴露していると書いている。HiddenLayerがCopyPasta攻撃を発見 Cursorは、インテリジェントなオートコンプリート、自動コード提案、リアルタイムのエラー検出を提供し、開発者のコーディングを簡素化します。しかし、ソフトウェアが自動的にコマンドを実行する自動実行モードでは、安全でない命令が承認なしに実行されるのを防ぐための保護をバイパスする欠陥を発見した。HiddenLayerは、CopyPasta攻撃はCursor内のシステム・プロンプトを利用したもので、ソフトウェア・ライセンシングのコンプライアンスに不可欠なものであると提唱している。GPLのようなライセンシング・テキストを模倣し、READMEのマークダウン・テキストとして偽装する。Cursorを騙して任意のコードを挿入させるCopyPasta攻撃:ソースはこちら:HiddenLayer攻撃はまた、マークダウン・ファイル内の隠されたコメントと構文ベースの入力を使用して、悪意のある命令を権威ある開発者コマンドとして偽装します。「悪意のある命令と組み合わされると、CopyPasta攻撃は難読化された方法で自身を新しいリポジトリに同時に複製することができ、そうでなければ安全であるコードベースに意図的な脆弱性を導入することができる」とHiddenLayerはその開示の中で述べている。テストでは、研究者は任意のPythonファイルの先頭に1行のコードを挿入する無害なペイロードを使用した。しかし、研究者たちは、バックドアの設置、機密データの流出、システムリソースの消費、本番環境の破壊など、セキュリティ侵害の際に同じ方法が使用される可能性があると警告している。研究者たちは、例えば「Morris II」攻撃のような実験と比較し、電子メールエージェントがどのように騙され、自分自身を再現しながらスパム送信やデータ漏洩を行うことができるかを示した。Morris IIは理論的には高い成功率を誇っていたが、電子メールシステムではメッセージ送信前に人間による確認が必要だったため、実際には限界があった。HiddenLayer社によると、Windsurf、Kiro、Aiderといった他のAIコーディング・アシスタントも、CopyPastaエクスプロイトを容易に検知できない方法で新しいファイルに伝播させるという。この脆弱性は、HiddenLayerとセキュリティ・グループBackSlashの両方が独自に報告した。昨日Cryptopolitanが報じたように、CoinbaseのCEOであるブライアン・アームストロングは、取引所のエンジニアリング・チームがほとんどの作業でCursorを優先的に使用しており、来年2月までに「すべてのCoinbaseエンジニア」にCursorを使用させる計画であることを明らかにした。同社のトップは8月下旬のポッドキャストで、Stripeの共同設立者であるジョン・コリソン氏に対し、GitHub CopilotとCursorを使い始めなければ職を失うよう、開発者に1週間の猶予を与えたと語った。「Slackの全チャンネルに投稿した。AIは重要だ。AIは重要だ。トレーニングが終わるまで毎日使う必要はない。もしそうでなければ、土曜日にまだ使っていない人全員とミーティングを開き、その理由を説明したい」とアームストロングは推測している。水曜日、彼はXに、AIが会社のコードの40%もの執筆を担当しており、来月までにはこの数字が50%に上昇すると予想していると投稿した。~Coinbaseで毎日書かれるコードの40%がAIによって生成されている。10月までに50%以上にしたい。もちろん、それはレビューされ理解される必要があり、ビジネスのすべての領域がAI生成コードを使用できるわけではない。しかし、可能な限り責任を持って使うべきだ。 pic.twitter.com/Nmnsdxgosp - Brian Armstrong (@brian_armstrong) September 3, 2025 アームストロングは、AIを企業のワークフローに統合することをシリコンバレーで最も声高に支持する人物の1人だ。しかし、エンジニアがAIコーディング・ツールを採用することを主張する彼の姿勢は、一部のコミュニティ・メンバーには馴染まないようだ。大事なところで見てもらいましょう。クリプトポリタンリサーチに広告を掲載し、暗号の最も鋭い投資家や構築者にリーチしましょう。

https://www.cryptopolitan.com/coinbase-ai-coding-tool-hijacked-by-virus/