Tin Tức Bitcoin - Cập Nhật Tin Tức Coin Hàng Ngày 24/7
  • Tin Tức
    • Tin tức theo CoinPedia
    • Tin Tức Bitcoin
    • Tin Tức Ethereum
    • Tin Tức Altcoin
  • Phân Tích Thị Trường
  • Coins & Tokens
  • Kiến Thức
  • Flash News
  • Press Release
  • Liên hệ
Không kết quả
Xem tất cả kết quả
  • Tin Tức
    • Tin tức theo CoinPedia
    • Tin Tức Bitcoin
    • Tin Tức Ethereum
    • Tin Tức Altcoin
  • Phân Tích Thị Trường
  • Coins & Tokens
  • Kiến Thức
  • Flash News
  • Press Release
  • Liên hệ
Không kết quả
Xem tất cả kết quả
Tin Tức Bitcoin - Cập Nhật Tin Tức Coin Hàng Ngày 24/7
Không kết quả
Xem tất cả kết quả

Tin Tức » Tin Tức AI » Công cụ lập trình AI ưa dùng của Coinbase bị virus mới chiếm quyền

Công cụ lập trình AI ưa dùng của Coinbase bị virus mới chiếm quyền

Ngọc Hà Tác giả Ngọc Hà
2 tuần trước
Công cụ lập trình AI ưa dùng của Coinbase bị virus mới chiếm quyền

Mục lục

Toggle
  • Lỗ hổng CopyPasta ảnh hưởng những công cụ nào?
  • CopyPasta License Attack là gì?
  • CopyPasta hoạt động như thế nào trong README.md và LICENSE.txt?
  • Tại sao README và LICENSE trở thành bề mặt tấn công?
  • Rủi ro an ninh nếu CopyPasta bị khai thác là gì?
  • Vì sao Coinbase bị chỉ trích khi để AI viết khoảng 40% mã?
  • Coinbase giới hạn AI ở những khu vực ít nhạy cảm như thế nào?
  • Armstrong đã xử lý ra sao với nhân sự không chịu dùng AI?
  • Doanh nghiệp cần làm gì để giảm rủi ro prompt injection trong quy trình phát triển?
  • Các công cụ nào đã được báo cáo là dễ bị CopyPasta?
  • Những câu hỏi thường gặp
    • CopyPasta có thể tự lan truyền như sâu máy tính không?
    • Tại sao dự án nên kiểm tra README và LICENSE kỹ hơn?
    • Coinbase có dùng AI cho hệ thống giao dịch cốt lõi không?
    • Phản ứng của cộng đồng về việc AI viết 40% mã tại Coinbase là gì?
    • Khuyến nghị bảo vệ CI/CD trước prompt injection là gì?

Các công cụ viết mã bằng AI như Cursor đang bị lộ lỗ hổng “CopyPasta”, cho phép kẻ tấn công giấu lệnh độc hại vào tệp phổ biến và nhân rộng mã nhiễm trên toàn bộ codebase, theo HiddenLayer.

Báo cáo cho thấy chỉ cần cấy hướng dẫn ẩn trong LICENSE.txt hay README.md, mã độc có thể âm thầm lan rộng, mở cửa hậu, rò rỉ dữ liệu và làm tê liệt hệ thống nếu không bị phát hiện kịp thời.

NỘI DUNG CHÍNH
  • HiddenLayer phát hiện “CopyPasta License Attack” ảnh hưởng Cursor, Windsurf, Kiro, Aider; nguy cơ phát tán prompt injection trên toàn codebase.
  • Cộng đồng chỉ trích việc dùng AI viết 40% mã tại Coinbase; CEO nói dùng có kiểm soát, tập trung phần ít nhạy cảm.
  • Khuyến nghị phòng vệ: kiểm soát tệp README/LICENSE, sandbox hóa agent AI, review bắt buộc, chính sách ký/phê duyệt mã, theo khuyến nghị từ chuẩn an ninh ngành.

Lỗ hổng CopyPasta ảnh hưởng những công cụ nào?

HiddenLayer chủ yếu thử nghiệm trên Cursor và cho biết Windsurf, Kiro, Aider cũng dễ bị tấn công. Đáng chú ý, đội kỹ thuật Coinbase cho biết Cursor là công cụ ưa dùng của phần lớn lập trình viên tại đây.

Theo HiddenLayer, cơ chế tấn công có thể mở rộng để gây hậu quả nghiêm trọng. Coinbase từng viết trên blog kỹ thuật rằng AI đã được dùng rộng rãi ở giao diện người dùng và backend dữ liệu ít nhạy cảm, còn hệ thống giao dịch cốt lõi thì chậm áp dụng hơn nguồn: Coinbase.

Xem thêm:  Canh bạc lớn của Hàn Quốc có ý nghĩa gì với thị trường toàn cầu?

CopyPasta License Attack là gì?

Đó là kỹ thuật giấu “prompt injection” trong tệp phổ biến như LICENSE.txt, README.md để điều khiển công cụ AI viết mã mà người dùng không hay biết.

HiddenLayer mô tả kẻ tấn công thuyết phục mô hình coi payload như giấy phép quan trọng cần chèn vào mọi tệp được chỉnh sửa, từ đó sao chép prompt độc hại trên diện rộng. Payload thường ẩn trong bình luận markdown, không hiển thị ở phiên bản render cuối cùng, khiến việc phát hiện khó khăn.

“Bằng cách thuyết phục mô hình nền tảng rằng payload của chúng tôi thực chất là một tệp giấy phép quan trọng phải được chèn như chú thích vào mọi tệp do agent chỉnh sửa, chúng tôi có thể nhanh chóng phân phối prompt injection trên toàn bộ codebase với nỗ lực tối thiểu.”
– HiddenLayer, công ty an ninh mạng, thứ 5, nguồn: HiddenLayer

CopyPasta hoạt động như thế nào trong README.md và LICENSE.txt?

Kẻ tấn công nhúng lệnh ẩn vào phần bình luận markdown trong README, hoặc nội dung trong LICENSE.txt, để công cụ AI đọc và làm theo nhưng không hiển thị cho người dùng cuối.

Khi agent/coding assistant mở kho mã, nó quét README/LICENSE, đọc lệnh ẩn và bắt đầu nhân bản chỉ dẫn vào các tệp mới hoặc sửa đổi. HiddenLayer đã tạo một repository chứa payload và yêu cầu Cursor sử dụng; các tệp mới bị tự động chèn prompt độc hại theo hướng dẫn ẩn.

Tại sao README và LICENSE trở thành bề mặt tấn công?

Vì đây là tệp mặc định, thường được mọi dự án chứa sẵn và được AI ưu tiên đọc để hiểu ngữ cảnh mã nguồn.

README.md hiển thị nội dung render thân thiện, còn lệnh độc hại nằm trong phần bình luận bị ẩn, khiến lập trình viên khó để ý. LICENSE.txt thường được coi là “vô hại”, ít bị review kỹ, nên trở thành nơi cấy payload lý tưởng nhằm vượt qua quy trình kiểm tra thông thường.

Rủi ro an ninh nếu CopyPasta bị khai thác là gì?

Theo HiddenLayer, injected code có thể mở cửa hậu, rò rỉ dữ liệu, tiêu hao tài nguyên, hoặc thao túng tệp trọng yếu để phá hoại môi trường phát triển và sản xuất.

Nguy hiểm ở chỗ payload bị chôn sâu, lén lút nhân rộng và sống dai qua các nhánh/merge. Nếu CI/CD và review mã không phát hiện, rủi ro lan đến bản phát hành. Điều này đặc biệt nghiêm trọng với tổ chức xử lý tài sản nhạy cảm như sàn tiền điện tử.

“Mã được tiêm có thể dựng cửa hậu, lén đánh cắp dữ liệu nhạy cảm, thêm tác vụ tiêu tốn tài nguyên làm tê liệt hệ thống, hoặc thao túng tệp trọng yếu… Tất cả vẫn bị chôn sâu để tránh bị phát hiện ngay lập tức.”
– HiddenLayer, công ty an ninh mạng, thứ 5, nguồn: HiddenLayer

Vì sao Coinbase bị chỉ trích khi để AI viết khoảng 40% mã?

CEO Brian Armstrong nói AI đã viết tới 40% mã và muốn tăng lên 50% trong tháng tới, dẫn tới phản ứng dữ dội từ cộng đồng về rủi ro an ninh.

Xem thêm:  Top 10 CEO tiền điện tử giàu nhất 2025: Ai dẫn dắt ngành?

Nhà sáng lập DEX Dango, Larry Lyu, gọi đây là “cờ đỏ” với doanh nghiệp nhạy cảm an ninh. Giáo sư Jonathan Aldrich (Đại học Carnegie Mellon) cảnh báo không nên áp đặt tỷ lệ dùng AI; ông nói sẽ không tin giao tiền vào nền tảng nếu thấy tuyên bố như vậy. Những ý kiến khác khuyến nghị Coinbase ưu tiên bảo mật, sửa lỗi và bổ sung tính năng.

Coinbase giới hạn AI ở những khu vực ít nhạy cảm như thế nào?

Armstrong nêu rõ mã do AI tạo phải được review và hiểu rõ; không phải mọi khu vực đều được dùng AI, chỉ dùng có trách nhiệm tối đa có thể.

Blog kỹ thuật Coinbase cho biết AI được áp dụng sâu ở UI và backend dữ liệu kém nhạy cảm, còn “hệ thống giao dịch phức tạp, sống còn” áp dụng chậm hơn. Họ cũng khẳng định AI không phải “đạn bạc” mà mọi nhóm đều nên dùng ngay lập tức nguồn: Coinbase.

“Dùng AI để viết mã không phải cây đũa thần mà chúng ta kỳ vọng các đội ngũ áp dụng phổ quát.”
– Đội ngũ Kỹ thuật Coinbase, blog kỹ thuật, tháng 8, nguồn: Coinbase Engineering Blog

Armstrong đã xử lý ra sao với nhân sự không chịu dùng AI?

Trong podcast với John Collison, Armstrong kể đã sa thải một số kỹ sư không dùng AI sau khi Coinbase mua bản quyền Cursor và GitHub Copilot.

Ông nói đã đặt yêu cầu bắt buộc onboarding AI trong một tuần, tổ chức họp cuối tuần với người chưa thực hiện. Một vài người không đưa ra lý do phù hợp và bị cho nghỉ việc; Armstrong thừa nhận cách làm “mạnh tay” và không được lòng tất cả nguồn: YouTube.

Xem thêm:  Chỉ số Ethereum đang cho thấy 2 câu chuyện rất khác nhau lúc này

Doanh nghiệp cần làm gì để giảm rủi ro prompt injection trong quy trình phát triển?

Ưu tiên kiểm soát tệp README/LICENSE: vô hiệu hóa việc agent tự động chèn bình luận, bắt buộc review và ký mã cho mọi thay đổi với tệp “mặc định”.

Thực thi kiểm thử an ninh SDLC, sandbox hóa quyền của code assistant, bật logging chi tiết, và ràng buộc chính sách CI/CD để chặn bình luận markdown bất thường. Tham khảo khuyến nghị về rủi ro LLM từ OWASP Top 10 for LLM (2023) và khung SSDF của NIST SP 800-218 (2022) nhằm tích hợp kiểm soát vào pipeline.

Các công cụ nào đã được báo cáo là dễ bị CopyPasta?

HiddenLayer nêu đích danh Cursor, Windsurf, Kiro, Aider là dễ bị tấn công theo mô hình họ thử nghiệm.

Việc tổ chức dùng công cụ nào cần đi kèm đánh giá rủi ro, thiết lập cấu hình an toàn, và đào tạo lập trình viên phát hiện prompt injection. Dù sản phẩm khác nhau, bề mặt tấn công chung nằm ở cách agent đọc tệp hướng dẫn mặc định và tự động hóa chỉnh sửa tệp.

Công cụ AI viết mãTrạng thái trước CopyPastaNguồn
CursorDễ bị tấn công trong thử nghiệmHiddenLayer
WindsurfDễ bị tấn công trong thử nghiệmHiddenLayer
KiroDễ bị tấn công trong thử nghiệmHiddenLayer
AiderDễ bị tấn công trong thử nghiệmHiddenLayer

Những câu hỏi thường gặp

CopyPasta có thể tự lan truyền như sâu máy tính không?

Nó lan bằng cách ép agent AI chèn prompt ẩn vào tệp mới/chỉnh sửa, từ đó “nhân bản” trong codebase. HiddenLayer đã chứng minh cơ chế này trong thử nghiệm của họ.

Tại sao dự án nên kiểm tra README và LICENSE kỹ hơn?

Vì lệnh độc hại có thể ẩn trong bình luận markdown, không hiển thị trên giao diện render. Đây là bề mặt ít được review nhưng lại được AI đọc sớm.

Coinbase có dùng AI cho hệ thống giao dịch cốt lõi không?

Đội kỹ thuật Coinbase cho biết mức độ áp dụng ở các hệ thống giao dịch phức tạp, trọng yếu thấp hơn, trong khi UI và backend ít nhạy cảm dùng nhiều hơn.

Phản ứng của cộng đồng về việc AI viết 40% mã tại Coinbase là gì?

Nhiều lãnh đạo và chuyên gia cảnh báo rủi ro an ninh, cho rằng áp đặt tỷ lệ dùng AI là thiếu thận trọng, kêu gọi ưu tiên bảo mật và chất lượng.

Khuyến nghị bảo vệ CI/CD trước prompt injection là gì?

Sandbox quyền agent, chặn chèn bình luận tự động, bắt buộc review/ký mã, quét nội dung README/LICENSE, và áp dụng chuẩn OWASP LLM, NIST SSDF trong quy trình.

Đăng ký ngay: BingX – Nền tảng giao dịch tiền mã hóa hàng đầu.

Lưu ý: Nội dung bài viết chỉ nhằm cung cấp thông tin, không phải khuyến nghị đầu tư. Vui lòng tự nghiên cứu kỹ lưỡng trước khi đưa ra quyết định. Chúng tôi không chịu trách nhiệm đối với mọi kết quả phát sinh từ quyết định đầu tư của bạn.
Đánh giá bài viết:★★★★★4,56/5(173 đánh giá)

Nếu bạn chưa có tài khoản giao dịch, Hãy đăng ký ngay theo link:

Binance | Mexc | HTX | Coinex | Bitget | Hashkey | BydFi

Xem Tin Tức Bitcoin trên Google News
THEO DÕI TIN TỨC BITCOIN TRÊN FACEBOOK | YOUTUBE | TELEGRAM | TWITTER | DISCORD
Tags: #BusinessAICoinbaseHacks

BÀI VIẾT CÙNG DANH MỤC

Ripple hợp tác DBS và Fullerton ra mắt quỹ token hóa

Ripple hợp tác DBS và Fullerton ra mắt quỹ token hóa

18/09/2025
MapMetrics là gì?

MapMetrics là gì? Nền tảng DePIN ứng dụng mô hình Drive-to-Earn

18/09/2025
Người Colombia sắp tiết kiệm bằng stablecoin với app MoneyGram mới

Người Colombia sắp tiết kiệm bằng stablecoin với app MoneyGram mới

18/09/2025
Legion là gì?

Legion là gì? Launchpad cho phép nhà đầu tư tiếp cận dự án Web3 từ giai đoạn đầu

18/09/2025
Shinami là gì?

Shinami là gì? Dự án hạ tầng Web3 cung cấp SDK

18/09/2025
Nvidia rót 683 triệu USD vào Nscale

Nvidia rót 683 triệu USD vào Nscale: Từ mỏ Crypto đến AI quốc gia

18/09/2025
LiveArt là gì?

LiveArt là gì? Nền tảng trong mảnh ghép RWAs

18/09/2025
Leonardo AI là gì?

Leonardo AI là gì? Nền tảng trí tuệ nhân tạo chuyên tạo hình ảnh và video

18/09/2025
HairDAO là gì?

HairDAO là gì? DAO thuộc hệ sinh thái BioDAO

18/09/2025
Cơ quan quản lý New York thúc ép ngân hàng áp dụng phân tích blockchain

Cơ quan quản lý New York thúc ép ngân hàng áp dụng phân tích blockchain

18/09/2025
Xem Thêm
Cashback Binance

Tin Nhanh

Compound DAO bác đề xuất thu hồi 13 triệu USD Token từ Đặc phái viên

1 phút trước

Cá voi nộp 130,6K TRUMP vào Bybit, nắm 7 tháng, lỗ 979K USD

19 phút trước

Bitcoin vượt mốc 117.000 USD, tăng 0,96% trong ngày

36 phút trước

Cá voi 141% PUMP 3 ngày trước, nay mua 321 triệu TRUMP, lãi 223K USD

51 phút trước

Tin quan trọng từ đêm qua và sáng nay (17-18 tháng 9)

1 giờ trước

Công ty Kaisa Capital tăng 250% sau tái cấu trúc và ra mắt Token RWA

1 giờ trước

Press Release

Bitcoin Hyper huy động 16 triệu USD, mở màn làn sóng BitcoinFi với HYPER

Bitcoin Hyper huy động 16 triệu USD, mở màn làn sóng BitcoinFi với HYPER

16/09/2025
Solana bứt phá trở lại: Altseason vào sóng, ETF trong tầm ngắm

Solana bứt phá trở lại: Altseason vào sóng, ETF trong tầm ngắm

16/09/2025
Bitcoin Vượt $115,000, Thị Trường Crypto Xanh Rực – Altcoin Season Đang Đến Gần?

Bitcoin Vượt $115,000, Thị Trường Crypto Xanh Rực – Altcoin Season Đang Đến Gần?

12/09/2025
Undeads Games TVL vượt 30 triệu USD

Undeads Games TVL vượt 30 triệu USD

12/09/2025
Bitcoin Chờ Bứt Phá Khi Lãi Suất Giảm? Bitcoin Hyper Gọi Vốn 15 Triệu USD – Động Lực Mới Cho Thị Trường - Tin Tức Bitcoin - Cập Nhật Tin Tức Coin Mới Nhất 24/7 2025

Bitcoin Chờ Bứt Phá Khi Lãi Suất Giảm? Bitcoin Hyper Gọi Vốn 15 Triệu USD – Động Lực Mới Cho Thị Trường

11/09/2025
3 Đồng Coin Có Thể Đạt 10 USD Trước XRP và ADA – Dogecoin, Stellar và Best Wallet Dẫn Đầu Xu Hướng

3 Đồng Coin Có Thể Đạt 10 USD Trước XRP và ADA – Dogecoin, Stellar và Best Wallet Dẫn Đầu Xu Hướng

10/09/2025

Những sàn giao dịch tiền điện tử tốt nhất hiện nay

Binance Logo Binance Tìm hiểu ngay →
Mexc Logo Mexc Tìm hiểu ngay →
Bitget Logo Bitget Tìm hiểu ngay →
Coinex Logo Coinex Tìm hiểu ngay →
HTX Logo HTX Tìm hiểu ngay →
Gate Logo Gate Tìm hiểu ngay →
Hashkey Logo Hashkey Tìm hiểu ngay →
BydFi Logo BydFi Tìm hiểu ngay →
BingX Logo BingX Tìm hiểu ngay →
  • Tin Tức
  • Phân Tích Thị Trường
  • Coins & Tokens
  • Kiến Thức
  • Flash News
  • Press Release
  • Liên hệ
Google News
Privacy Policy

© 2019 - 2025 Tin Tức Bitcoin

Không kết quả
Xem tất cả kết quả
  • Tin Tức
    • Tin tức theo CoinPedia
    • Tin Tức Bitcoin
    • Tin Tức Ethereum
    • Tin Tức Altcoin
  • Phân Tích Thị Trường
  • Coins & Tokens
  • Kiến Thức
  • Flash News
  • Press Release
  • Liên hệ

© 2019 - 2025 Tin Tức Bitcoin