Alerta de seguridad: La herramienta de codificación IA de Coinbase presenta vulnerabilidad crítica de puerta trasera
Una puerta trasera oculta en la herramienta de inteligencia artificial de Coinbase amenaza la seguridad de desarrolladores y usuarios.
Expertos en ciberseguridad descubren que el sistema de codificación asistida podría ser explotado para acceder a códigos fuente sensibles y datos de transacciones.
La vulnerabilidad permite a atacantes bypassear protocolos de seguridad establecidos, comprometiendo potencialmente miles de líneas de código y wallets institucionales.
Coinbase responde con parches de emergencia mientras la comunidad cuestiona si esto es innovación financiera o simplemente otra forma elegante de perder dinero digital.
HiddenLayer descubre un ataque CopyPasta
Cursor ofrece autocompletado inteligente, sugerencias de código automatizadas y detección de errores en tiempo real para ayudar a los desarrolladores a simplificar la programación. Sin embargo, en el modo de ejecución automática, donde el software puede ejecutar comandosmatic, los investigadores descubrieron una falla que elude las protecciones diseñadas para evitar la ejecución de instrucciones inseguras sin autorización.
HiddenLayer propuso que el ataque CopyPasta aprovecha las indicaciones del sistema dentro de Cursor, esenciales para el cumplimiento de las licencias de software. Imita textos de licencias como los acuerdos GPL y se disfraza de un archivo README en formato Markdown.
El ataque también utiliza comentarios ocultos en archivos Markdown y entradas basadas en sintaxis para hacer pasar instrucciones maliciosas como comandos de desarrollador autorizados.
“Cuando se combina con instrucciones maliciosas, el ataque CopyPasta puede replicarse simultáneamente de manera ofuscada en nuevos repositorios e introducir vulnerabilidades deliberadas en bases de código que de otro modo serían seguras”, afirmó HiddenLayer en su divulgación.
Durante las pruebas, los investigadores utilizaron una carga útil inofensiva que insertaba una sola línea de código al inicio de cualquier archivo Python. Sin embargo, advirtieron que el mismo método podría emplearse durante brechas de seguridad, como la implantación de puertas traseras, la exfiltración de datos confidenciales, el consumo de recursos del sistema o la corrupción de entornos de producción.
Los investigadores lo compararon con experimentos como el ataque "Morris II", por ejemplo, que demostró cómo se podía engañar a los agentes de correo electrónico para que enviaran spam o filtraran datos mientras se reproducían. Morris II tuvo una alta tasa de éxito teórica, pero en la práctica era limitada, ya que los sistemas de correo electrónico aún requerían revisión humana antes del envío de los mensajes.
HiddenLayer afirmó que otros asistentes de programación de IA, como Windsurf, Kiro y Aider, también propagan el exploit CopyPasta a nuevos archivos de una forma que dificulta su detección. La vulnerabilidad fue reportadadenttanto por HiddenLayer como por el grupo de seguridad BackSlash.
Los ingenieros de Coinbase están bajo una intensa codificación de IA
Como informó Cryptopolitan ayer, el CEO de Coinbase, Brian Arms tron reveló que el equipo de ingeniería del exchange está utilizando Cursor como su herramienta preferida para la mayor parte de su trabajo, con planes de que "todos los ingenieros de Coinbase" lo utilicen para febrero del próximo año.
El director de la compañía le dijo al cofundador de Stripe, John Collison, en un podcast a fines de agosto que les dio a los desarrolladores una semana para comenzar a usar GitHub Copilot y Cursor, o perderían sus trabajos.
Me arriesgué y publiqué en el canal de Slack. La IA es importante. Necesitamos que todos la aprendan y, al menos, la integren. No tienen que usarla todos los días hasta que hagamos una capacitación, pero al menos intégrenla para el final de la semana. Si no, organizaré una reunión el sábado con todos los que aún no la han usado, y me gustaría reunirme con ustedes para entender por qué —conjeturó Armstron.
El miércoles, publicó en X que AI era responsable de escribir hasta el 40% del código de la compañía y esperaba que esa cifra aumentara al 50% el próximo mes.
Aproximadamente el 40 % del código diario escrito en Coinbase se genera con IA. Quiero que alcance más del 50 % para octubre.
Obviamente, necesita ser revisado y comprendido, y no todas las áreas de la empresa pueden usar código generado con IA. Pero deberíamos usarlo con la mayor responsabilidad posible. pic.twitter.com/Nmnsdxgosp
trong ha sido uno de los principales defensores de la integración de la IA en los flujos de trabajo corporativos en Silicon Valley. Sin embargo, su insistencia en que los ingenieros adopten herramientas de programación de IA no convence a algunos miembros de la comunidad.
Ve a ver dónde cuenta. Anuncie en la investigación criptopolitana y alcance los inversores y constructores más agudos de Crypto.
