Tin Tức Bitcoin - Cập Nhật Tin Tức Coin Hàng Ngày 24/7
  • Tin Tức
    • Tin tức theo CoinPedia
    • Tin Tức Bitcoin
    • Tin Tức Ethereum
    • Tin Tức Altcoin
  • Phân Tích Thị Trường
  • Coins & Tokens
  • Kiến Thức
  • Flash News
  • Press Release
  • Liên hệ
Không kết quả
Xem tất cả kết quả
  • Tin Tức
    • Tin tức theo CoinPedia
    • Tin Tức Bitcoin
    • Tin Tức Ethereum
    • Tin Tức Altcoin
  • Phân Tích Thị Trường
  • Coins & Tokens
  • Kiến Thức
  • Flash News
  • Press Release
  • Liên hệ
Không kết quả
Xem tất cả kết quả
Tin Tức Bitcoin - Cập Nhật Tin Tức Coin Hàng Ngày 24/7
Không kết quả
Xem tất cả kết quả

Tin Tức » Tin Tức AI » Công cụ lập trình AI ưa dùng của Coinbase bị virus mới chiếm quyền

Công cụ lập trình AI ưa dùng của Coinbase bị virus mới chiếm quyền

Ngọc Hà Tác giả Ngọc Hà
27 giây trước
Công cụ lập trình AI ưa dùng của Coinbase bị virus mới chiếm quyền

Mục lục

Toggle
  • Lỗ hổng CopyPasta ảnh hưởng những công cụ nào?
  • CopyPasta License Attack là gì?
  • CopyPasta hoạt động như thế nào trong README.md và LICENSE.txt?
  • Tại sao README và LICENSE trở thành bề mặt tấn công?
  • Rủi ro an ninh nếu CopyPasta bị khai thác là gì?
  • Vì sao Coinbase bị chỉ trích khi để AI viết khoảng 40% mã?
  • Coinbase giới hạn AI ở những khu vực ít nhạy cảm như thế nào?
  • Armstrong đã xử lý ra sao với nhân sự không chịu dùng AI?
  • Doanh nghiệp cần làm gì để giảm rủi ro prompt injection trong quy trình phát triển?
  • Các công cụ nào đã được báo cáo là dễ bị CopyPasta?
  • Những câu hỏi thường gặp
    • CopyPasta có thể tự lan truyền như sâu máy tính không?
    • Tại sao dự án nên kiểm tra README và LICENSE kỹ hơn?
    • Coinbase có dùng AI cho hệ thống giao dịch cốt lõi không?
    • Phản ứng của cộng đồng về việc AI viết 40% mã tại Coinbase là gì?
    • Khuyến nghị bảo vệ CI/CD trước prompt injection là gì?

Các công cụ viết mã bằng AI như Cursor đang bị lộ lỗ hổng “CopyPasta”, cho phép kẻ tấn công giấu lệnh độc hại vào tệp phổ biến và nhân rộng mã nhiễm trên toàn bộ codebase, theo HiddenLayer.

Báo cáo cho thấy chỉ cần cấy hướng dẫn ẩn trong LICENSE.txt hay README.md, mã độc có thể âm thầm lan rộng, mở cửa hậu, rò rỉ dữ liệu và làm tê liệt hệ thống nếu không bị phát hiện kịp thời.

NỘI DUNG CHÍNH
  • HiddenLayer phát hiện “CopyPasta License Attack” ảnh hưởng Cursor, Windsurf, Kiro, Aider; nguy cơ phát tán prompt injection trên toàn codebase.
  • Cộng đồng chỉ trích việc dùng AI viết 40% mã tại Coinbase; CEO nói dùng có kiểm soát, tập trung phần ít nhạy cảm.
  • Khuyến nghị phòng vệ: kiểm soát tệp README/LICENSE, sandbox hóa agent AI, review bắt buộc, chính sách ký/phê duyệt mã, theo khuyến nghị từ chuẩn an ninh ngành.

Lỗ hổng CopyPasta ảnh hưởng những công cụ nào?

HiddenLayer chủ yếu thử nghiệm trên Cursor và cho biết Windsurf, Kiro, Aider cũng dễ bị tấn công. Đáng chú ý, đội kỹ thuật Coinbase cho biết Cursor là công cụ ưa dùng của phần lớn lập trình viên tại đây.

Theo HiddenLayer, cơ chế tấn công có thể mở rộng để gây hậu quả nghiêm trọng. Coinbase từng viết trên blog kỹ thuật rằng AI đã được dùng rộng rãi ở giao diện người dùng và backend dữ liệu ít nhạy cảm, còn hệ thống giao dịch cốt lõi thì chậm áp dụng hơn nguồn: Coinbase.

Xem thêm:  Mega Matrix nộp shelf 2 tỷ USD lập kho bạc quản trị stablecoin Ethena

CopyPasta License Attack là gì?

Đó là kỹ thuật giấu “prompt injection” trong tệp phổ biến như LICENSE.txt, README.md để điều khiển công cụ AI viết mã mà người dùng không hay biết.

HiddenLayer mô tả kẻ tấn công thuyết phục mô hình coi payload như giấy phép quan trọng cần chèn vào mọi tệp được chỉnh sửa, từ đó sao chép prompt độc hại trên diện rộng. Payload thường ẩn trong bình luận markdown, không hiển thị ở phiên bản render cuối cùng, khiến việc phát hiện khó khăn.

“Bằng cách thuyết phục mô hình nền tảng rằng payload của chúng tôi thực chất là một tệp giấy phép quan trọng phải được chèn như chú thích vào mọi tệp do agent chỉnh sửa, chúng tôi có thể nhanh chóng phân phối prompt injection trên toàn bộ codebase với nỗ lực tối thiểu.”
– HiddenLayer, công ty an ninh mạng, thứ 5, nguồn: HiddenLayer

CopyPasta hoạt động như thế nào trong README.md và LICENSE.txt?

Kẻ tấn công nhúng lệnh ẩn vào phần bình luận markdown trong README, hoặc nội dung trong LICENSE.txt, để công cụ AI đọc và làm theo nhưng không hiển thị cho người dùng cuối.

Khi agent/coding assistant mở kho mã, nó quét README/LICENSE, đọc lệnh ẩn và bắt đầu nhân bản chỉ dẫn vào các tệp mới hoặc sửa đổi. HiddenLayer đã tạo một repository chứa payload và yêu cầu Cursor sử dụng; các tệp mới bị tự động chèn prompt độc hại theo hướng dẫn ẩn.

Tại sao README và LICENSE trở thành bề mặt tấn công?

Vì đây là tệp mặc định, thường được mọi dự án chứa sẵn và được AI ưu tiên đọc để hiểu ngữ cảnh mã nguồn.

README.md hiển thị nội dung render thân thiện, còn lệnh độc hại nằm trong phần bình luận bị ẩn, khiến lập trình viên khó để ý. LICENSE.txt thường được coi là “vô hại”, ít bị review kỹ, nên trở thành nơi cấy payload lý tưởng nhằm vượt qua quy trình kiểm tra thông thường.

Rủi ro an ninh nếu CopyPasta bị khai thác là gì?

Theo HiddenLayer, injected code có thể mở cửa hậu, rò rỉ dữ liệu, tiêu hao tài nguyên, hoặc thao túng tệp trọng yếu để phá hoại môi trường phát triển và sản xuất.

Xem thêm:  Squidllora là gì? Hệ thống giao dịch tự động trên Allora Network

Nguy hiểm ở chỗ payload bị chôn sâu, lén lút nhân rộng và sống dai qua các nhánh/merge. Nếu CI/CD và review mã không phát hiện, rủi ro lan đến bản phát hành. Điều này đặc biệt nghiêm trọng với tổ chức xử lý tài sản nhạy cảm như sàn tiền điện tử.

“Mã được tiêm có thể dựng cửa hậu, lén đánh cắp dữ liệu nhạy cảm, thêm tác vụ tiêu tốn tài nguyên làm tê liệt hệ thống, hoặc thao túng tệp trọng yếu… Tất cả vẫn bị chôn sâu để tránh bị phát hiện ngay lập tức.”
– HiddenLayer, công ty an ninh mạng, thứ 5, nguồn: HiddenLayer

Vì sao Coinbase bị chỉ trích khi để AI viết khoảng 40% mã?

CEO Brian Armstrong nói AI đã viết tới 40% mã và muốn tăng lên 50% trong tháng tới, dẫn tới phản ứng dữ dội từ cộng đồng về rủi ro an ninh.

Nhà sáng lập DEX Dango, Larry Lyu, gọi đây là “cờ đỏ” với doanh nghiệp nhạy cảm an ninh. Giáo sư Jonathan Aldrich (Đại học Carnegie Mellon) cảnh báo không nên áp đặt tỷ lệ dùng AI; ông nói sẽ không tin giao tiền vào nền tảng nếu thấy tuyên bố như vậy. Những ý kiến khác khuyến nghị Coinbase ưu tiên bảo mật, sửa lỗi và bổ sung tính năng.

Coinbase giới hạn AI ở những khu vực ít nhạy cảm như thế nào?

Armstrong nêu rõ mã do AI tạo phải được review và hiểu rõ; không phải mọi khu vực đều được dùng AI, chỉ dùng có trách nhiệm tối đa có thể.

Blog kỹ thuật Coinbase cho biết AI được áp dụng sâu ở UI và backend dữ liệu kém nhạy cảm, còn “hệ thống giao dịch phức tạp, sống còn” áp dụng chậm hơn. Họ cũng khẳng định AI không phải “đạn bạc” mà mọi nhóm đều nên dùng ngay lập tức nguồn: Coinbase.

“Dùng AI để viết mã không phải cây đũa thần mà chúng ta kỳ vọng các đội ngũ áp dụng phổ quát.”
– Đội ngũ Kỹ thuật Coinbase, blog kỹ thuật, tháng 8, nguồn: Coinbase Engineering Blog

Armstrong đã xử lý ra sao với nhân sự không chịu dùng AI?

Trong podcast với John Collison, Armstrong kể đã sa thải một số kỹ sư không dùng AI sau khi Coinbase mua bản quyền Cursor và GitHub Copilot.

Xem thêm:  Kế hoạch ID DeFi Bộ Tài chính Hoa Kỳ như lắp camera mọi phòng khách

Ông nói đã đặt yêu cầu bắt buộc onboarding AI trong một tuần, tổ chức họp cuối tuần với người chưa thực hiện. Một vài người không đưa ra lý do phù hợp và bị cho nghỉ việc; Armstrong thừa nhận cách làm “mạnh tay” và không được lòng tất cả nguồn: YouTube.

Doanh nghiệp cần làm gì để giảm rủi ro prompt injection trong quy trình phát triển?

Ưu tiên kiểm soát tệp README/LICENSE: vô hiệu hóa việc agent tự động chèn bình luận, bắt buộc review và ký mã cho mọi thay đổi với tệp “mặc định”.

Thực thi kiểm thử an ninh SDLC, sandbox hóa quyền của code assistant, bật logging chi tiết, và ràng buộc chính sách CI/CD để chặn bình luận markdown bất thường. Tham khảo khuyến nghị về rủi ro LLM từ OWASP Top 10 for LLM (2023) và khung SSDF của NIST SP 800-218 (2022) nhằm tích hợp kiểm soát vào pipeline.

Các công cụ nào đã được báo cáo là dễ bị CopyPasta?

HiddenLayer nêu đích danh Cursor, Windsurf, Kiro, Aider là dễ bị tấn công theo mô hình họ thử nghiệm.

Việc tổ chức dùng công cụ nào cần đi kèm đánh giá rủi ro, thiết lập cấu hình an toàn, và đào tạo lập trình viên phát hiện prompt injection. Dù sản phẩm khác nhau, bề mặt tấn công chung nằm ở cách agent đọc tệp hướng dẫn mặc định và tự động hóa chỉnh sửa tệp.

Công cụ AI viết mãTrạng thái trước CopyPastaNguồn
CursorDễ bị tấn công trong thử nghiệmHiddenLayer
WindsurfDễ bị tấn công trong thử nghiệmHiddenLayer
KiroDễ bị tấn công trong thử nghiệmHiddenLayer
AiderDễ bị tấn công trong thử nghiệmHiddenLayer

Những câu hỏi thường gặp

CopyPasta có thể tự lan truyền như sâu máy tính không?

Nó lan bằng cách ép agent AI chèn prompt ẩn vào tệp mới/chỉnh sửa, từ đó “nhân bản” trong codebase. HiddenLayer đã chứng minh cơ chế này trong thử nghiệm của họ.

Tại sao dự án nên kiểm tra README và LICENSE kỹ hơn?

Vì lệnh độc hại có thể ẩn trong bình luận markdown, không hiển thị trên giao diện render. Đây là bề mặt ít được review nhưng lại được AI đọc sớm.

Coinbase có dùng AI cho hệ thống giao dịch cốt lõi không?

Đội kỹ thuật Coinbase cho biết mức độ áp dụng ở các hệ thống giao dịch phức tạp, trọng yếu thấp hơn, trong khi UI và backend ít nhạy cảm dùng nhiều hơn.

Phản ứng của cộng đồng về việc AI viết 40% mã tại Coinbase là gì?

Nhiều lãnh đạo và chuyên gia cảnh báo rủi ro an ninh, cho rằng áp đặt tỷ lệ dùng AI là thiếu thận trọng, kêu gọi ưu tiên bảo mật và chất lượng.

Khuyến nghị bảo vệ CI/CD trước prompt injection là gì?

Sandbox quyền agent, chặn chèn bình luận tự động, bắt buộc review/ký mã, quét nội dung README/LICENSE, và áp dụng chuẩn OWASP LLM, NIST SSDF trong quy trình.

Đăng ký ngay: BingX – Nền tảng giao dịch tiền mã hóa hàng đầu.

Đánh giá bài viết:★★★★★4,56/5(173 đánh giá)

Nếu bạn chưa có tài khoản giao dịch, Hãy đăng ký ngay theo link:

Binance | Mexc | HTX | Coinex | Bitget | Hashkey | BydFi

Xem Tin Tức Bitcoin trên Google News
THEO DÕI TIN TỨC BITCOIN TRÊN FACEBOOK | YOUTUBE | TELEGRAM | TWITTER | DISCORD
Tags: #BusinessAICoinbaseHacks

BÀI VIẾT CÙNG DANH MỤC

Lava là gì?

Lava là gì? Giải pháp tài chính giúp người dùng Bitcoin vay USD

05/09/2025
ManusAI là gì?

ManusAI là gì? Nền tảng AI Agent thông minh

05/09/2025
Nhà phân tích: Dogecoin có thể có ETF đầu tiên ra mắt tuần tới

Nhà phân tích: Dogecoin có thể có ETF đầu tiên ra mắt tuần tới

05/09/2025
Atlas Protocol là gì?

Atlas Protocol là gì? Giao thức Liquid Staking Bitcoin đa chuỗi

05/09/2025
Ordkit là gì?

Ordkit là gì? Launchpad và nền tảng Minting tập trung vào Bitcoin Ordinals

05/09/2025
Coinshift là gì?

Coinshift là gì? Nền tảng quản lý tài chính On-chain tích hợp quản lý tài sản

05/09/2025
Momo.fun là gì?

Momo.fun là gì? Nền tảng IDO kết hợp AI và văn hóa Meme

05/09/2025
Pοseidon là gì?

Pοseidon là gì? Nền tảng dữ liệu AI tập trung vào dữ liệu thực tế

05/09/2025
Nga nới lỏng rào cản giao dịch tiền điện tử cá nhân

Nga nới lỏng rào cản giao dịch tiền điện tử cá nhân

05/09/2025
Điều gì có thể chặn đường Công ty Strategy vào S&P 500?

Điều gì có thể chặn đường Công ty Strategy vào S&P 500?

05/09/2025
Xem Thêm
Cashback Binance

Tin Nhanh

Bitcoin ETF rút ròng 227 triệu USD hôm qua, chỉ BlackRock hút vốn

10 phút trước

Top1 WLFI chuyển 100 triệu WLFI tới địa chỉ mới, 18,24 triệu USD

27 phút trước

Quỹ Cosmos (ICF) thông báo Interchain Labs đổi tên thành Cosmos Labs

46 phút trước

Huobi HTX kỷ niệm 12 năm: Đăng ký đồng được chọn nhận coupon tới 12%

1 giờ trước

Cơ quan quản lý Hàn Quốc ban hành hướng dẫn cấm cho vay đòn bẩy tài sản số

1 giờ trước

Sàn OKX giờ hỗ trợ Google Pay

2 giờ trước

Press Release

3 người chơi may mắn chia nhau 180.000 USD tại Fiesta Finale tháng 8 của the9bit

3 người chơi may mắn chia nhau 180.000 USD tại Fiesta Finale tháng 8 của the9bit

04/09/2025
COCA 2.0 ra mắt: Ứng dụng ngân hàng tự quản dựa trên Stablecoin

COCA 2.0 ra mắt: Ứng dụng ngân hàng tự quản dựa trên Stablecoin

03/09/2025
Tại sao Shiba Inu có thể giảm 15% trong mùa thu này trong khi nhà đầu tư rót vốn vào XYZVerse (XYZ) - Tin Tức Bitcoin - Cập Nhật Tin Tức Coin Mới Nhất 24/7 2025

Tại sao Shiba Inu có thể giảm 15% trong mùa thu này trong khi nhà đầu tư rót vốn vào XYZVerse (XYZ)

02/09/2025
POL vs Kaspa vs XYZ — Đâu là Altcoin có tiềm năng ROI cao nhất vào năm 2025?

POL vs Kaspa vs XYZ — Đâu là Altcoin có tiềm năng ROI cao nhất vào năm 2025?

01/09/2025
Những Token Meme tốt nhất có mục đích vượt xa quảng cáo đơn thuần

Những Token Meme tốt nhất có mục đích vượt xa quảng cáo đơn thuần

31/08/2025
Ethereum vượt 5.500 USD, Dogecoin và XYZVerse giành mốc 1 USD

Ethereum vượt 5.500 USD, Dogecoin và XYZVerse giành mốc 1 USD

31/08/2025

Những sàn giao dịch tiền điện tử tốt nhất hiện nay

Binance Logo Binance Tìm hiểu ngay →
Mexc Logo Mexc Tìm hiểu ngay →
Bitget Logo Bitget Tìm hiểu ngay →
Coinex Logo Coinex Tìm hiểu ngay →
HTX Logo HTX Tìm hiểu ngay →
Gate Logo Gate Tìm hiểu ngay →
Hashkey Logo Hashkey Tìm hiểu ngay →
BydFi Logo BydFi Tìm hiểu ngay →
BingX Logo BingX Tìm hiểu ngay →
  • Tin Tức
  • Phân Tích Thị Trường
  • Coins & Tokens
  • Kiến Thức
  • Flash News
  • Press Release
  • Liên hệ
Google News
Privacy Policy

© 2019 - 2025 Tin Tức Bitcoin

Không kết quả
Xem tất cả kết quả
  • Tin Tức
    • Tin tức theo CoinPedia
    • Tin Tức Bitcoin
    • Tin Tức Ethereum
    • Tin Tức Altcoin
  • Phân Tích Thị Trường
  • Coins & Tokens
  • Kiến Thức
  • Flash News
  • Press Release
  • Liên hệ

© 2019 - 2025 Tin Tức Bitcoin