Coinbase KI-Codierungstool: Hintertür-Schwachstelle droht Krypto-Entwickler zu gefährden

KI-gestützte Entwicklungstools revolutionieren die Blockchain-Programmierung – doch Sicherheitslücken könnten böse Überraschungen bergen.

Die versteckte Gefahr in automatisiertem Code

Coinbase's neuestes KI-Tool verspricht Entwicklern blitzschnelle Smart-Contract-Erstellung, aber Sicherheitsexperten warnen vor potenziellen Backdoor-Exploits. Die Automatisierung beschleunigt Prozesse, öffnet aber Angreifern Tür und Tor für versteckte Manipulationen.

Sicherheit versus Geschwindigkeit

Während traditionelle Finanzinstitute monatelang Compliance-Checks durchführen, wirft die Krypto-Branche KI-Tools innerhalb von Wochen in die Wildnis – typisch für eine Industrie, die Geschwindigkeit über Stabilität stellt. Die Tools generieren tausende Codezeilen pro Stunde, doch niemand garantiert die Integrität jeder einzelnen Zeile.

Die eigentliche Frage: Vertrauen Entwickler blind einer KI, die möglicherweise mehr kann als nur codieren?

HiddenLayer entdeckt CopyPasta-Angriff

Cursor bietet intelligente Autovervollständigung, automatisierte Codevorschläge und Echtzeit-Fehlererkennung, um Entwicklern die Programmierung zu vereinfachen. Im Auto-Run-Modus, in dem die Software Befehlematicausführen kann, entdeckten die Forscher jedoch einen Fehler, der Schutzmaßnahmen umgeht, die die Ausführung unsicherer Anweisungen ohne Genehmigung verhindern sollen.

HiddenLayer behauptet, dass der CopyPasta-Angriff Systemaufforderungen innerhalb von Cursor ausnutzt, die für die Einhaltung von Softwarelizenzen unerlässlich sind. Er imitiert Lizenztexte wie GPL-Vereinbarungen und tarnt sich dann als README-Markdown-Text.

Der Angriff verwendet außerdem versteckte Kommentare in Markdown-Dateien und syntaxbasierten Eingaben, um bösartige Anweisungen als maßgebliche Entwicklerbefehle zu tarnen.

„In Kombination mit bösartigen Anweisungen kann sich der CopyPasta-Angriff gleichzeitig auf verschleierte Weise in neue Repositories replizieren und absichtlich Schwachstellen in Codebasen einführen, die ansonsten sicher wären“, sagte HiddenLayer in seiner Offenlegung.

Bei Tests verwendeten die Forscher eine harmlose Nutzlast, die am Anfang einer beliebigen Python-Datei eine einzelne Codezeile einfügte. Sie warnten jedoch davor, dass dieselbe Methode bei Sicherheitsverletzungen zum Einsatz kommen könnte, beispielsweise beim Einschleusen von Hintertüren, dem Abgreifen sensibler Daten, dem Verbrauch von Systemressourcen oder der Beschädigung von Produktionsumgebungen.

Die Forscher verglichen dies beispielsweise mit Experimenten wie dem „Morris II“-Angriff, der zeigte, wie E-Mail-Agenten dazu verleitet werden konnten, Spam zu versenden oder Daten zu leaken, während sie sich gleichzeitig reproduzierten. Morris II hatte zwar eine hohe theoretische Erfolgsquote, war in der Praxis jedoch begrenzt, da E-Mail-Systeme vor dem Versenden von Nachrichten immer noch eine menschliche Überprüfung erforderten.

Laut HiddenLayer verbreiten auch andere KI-Programmierassistenten wie Windsurf, Kiro und Aider den CopyPasta-Exploit auf neue Dateien, und zwar auf eine Weise, die nicht leicht zu erkennen ist. Die Sicherheitslücke wurde unabhängigdentsowohl von HiddenLayer als auch von der Sicherheitsgruppe BackSlash gemeldet. 

Coinbase-Ingenieure unter intensiver KI-Codierung

Wie Cryptopolitan gestern berichtete Tron bekannt, dass das Entwicklungsteam der Börse Cursor als bevorzugtes Tool für die meisten seiner Arbeiten verwendet und dass bis Februar nächsten Jahres „jeder Coinbase-Ingenieur“ es verwenden soll.

Der Firmenchef sagte dem Stripe-Mitbegründer John Collison Ende August in einem Podcast, dass er den Entwicklern eine Woche Zeit gegeben habe, mit der Nutzung von GitHub Copilot und Cursor zu beginnen, andernfalls würden sie ihren Job verlieren.

„Ich habe mich eigenmächtig verhalten und im Slack-Kanal gepostet. KI ist wichtig. Ihr müsst sie alle lernen und zumindest an Bord holen. Ihr müsst sie noch nicht täglich nutzen, bis wir ein Training gemacht haben, aber bis Ende der Woche solltet ihr dabei sein. Falls nicht, veranstalte ich am Samstag ein Meeting mit allen, die es noch nicht gemacht haben, und ich würde mich gerne mit euch treffen, um zu verstehen, warum“,tronArms zusammen.

Am Mittwoch postete er auf X, dass KI für das Schreiben von bis zu 40 % des Codes des Unternehmens verantwortlich Sei und dass dieser Anteil bis zum nächsten Monat auf 50 % steigen werde.

Etwa 40 % des täglich bei Coinbase geschriebenen Codes sind KI-generiert. Bis Oktober möchte ich diesen Anteil auf über 50 % steigern.

Natürlich muss dieser Code überprüft und verstanden werden, und nicht alle Unternehmensbereiche können KI-generierten Code nutzen. Wir sollten ihn aber so verantwortungsvoll wie möglich nutzen. pic.twitter.com/Nmnsdxgosp

tronist einer der lautstärksten Befürworter der Integration von KI in Unternehmensabläufe im Silicon Valley. Doch sein Beharren darauf, dass Ingenieure KI-Programmiertools einsetzen, kommt bei einigen Community-Mitgliedern nicht gut an.

Lassen Sie sich dort sehen, wo es zählt. Werbung in Kryptopolitenforschung und erreichen die schärfsten Investoren und Bauherren von Crypto.