Các công cụ viết mã bằng AI như Cursor đang bị lộ lỗ hổng “CopyPasta”, cho phép kẻ tấn công giấu lệnh độc hại vào tệp phổ biến và nhân rộng mã nhiễm trên toàn bộ codebase, theo HiddenLayer.
Báo cáo cho thấy chỉ cần cấy hướng dẫn ẩn trong LICENSE.txt hay README.md, mã độc có thể âm thầm lan rộng, mở cửa hậu, rò rỉ dữ liệu và làm tê liệt hệ thống nếu không bị phát hiện kịp thời.
- HiddenLayer phát hiện “CopyPasta License Attack” ảnh hưởng Cursor, Windsurf, Kiro, Aider; nguy cơ phát tán prompt injection trên toàn codebase.
- Cộng đồng chỉ trích việc dùng AI viết 40% mã tại Coinbase; CEO nói dùng có kiểm soát, tập trung phần ít nhạy cảm.
- Khuyến nghị phòng vệ: kiểm soát tệp README/LICENSE, sandbox hóa agent AI, review bắt buộc, chính sách ký/phê duyệt mã, theo khuyến nghị từ chuẩn an ninh ngành.
Lỗ hổng CopyPasta ảnh hưởng những công cụ nào?
HiddenLayer chủ yếu thử nghiệm trên Cursor và cho biết Windsurf, Kiro, Aider cũng dễ bị tấn công. Đáng chú ý, đội kỹ thuật Coinbase cho biết Cursor là công cụ ưa dùng của phần lớn lập trình viên tại đây.
Theo HiddenLayer, cơ chế tấn công có thể mở rộng để gây hậu quả nghiêm trọng. Coinbase từng viết trên blog kỹ thuật rằng AI đã được dùng rộng rãi ở giao diện người dùng và backend dữ liệu ít nhạy cảm, còn hệ thống giao dịch cốt lõi thì chậm áp dụng hơn nguồn: Coinbase.
CopyPasta License Attack là gì?
Đó là kỹ thuật giấu “prompt injection” trong tệp phổ biến như LICENSE.txt, README.md để điều khiển công cụ AI viết mã mà người dùng không hay biết.
HiddenLayer mô tả kẻ tấn công thuyết phục mô hình coi payload như giấy phép quan trọng cần chèn vào mọi tệp được chỉnh sửa, từ đó sao chép prompt độc hại trên diện rộng. Payload thường ẩn trong bình luận markdown, không hiển thị ở phiên bản render cuối cùng, khiến việc phát hiện khó khăn.
“Bằng cách thuyết phục mô hình nền tảng rằng payload của chúng tôi thực chất là một tệp giấy phép quan trọng phải được chèn như chú thích vào mọi tệp do agent chỉnh sửa, chúng tôi có thể nhanh chóng phân phối prompt injection trên toàn bộ codebase với nỗ lực tối thiểu.”
– HiddenLayer, công ty an ninh mạng, thứ 5, nguồn: HiddenLayer
CopyPasta hoạt động như thế nào trong README.md và LICENSE.txt?
Kẻ tấn công nhúng lệnh ẩn vào phần bình luận markdown trong README, hoặc nội dung trong LICENSE.txt, để công cụ AI đọc và làm theo nhưng không hiển thị cho người dùng cuối.
Khi agent/coding assistant mở kho mã, nó quét README/LICENSE, đọc lệnh ẩn và bắt đầu nhân bản chỉ dẫn vào các tệp mới hoặc sửa đổi. HiddenLayer đã tạo một repository chứa payload và yêu cầu Cursor sử dụng; các tệp mới bị tự động chèn prompt độc hại theo hướng dẫn ẩn.
Tại sao README và LICENSE trở thành bề mặt tấn công?
Vì đây là tệp mặc định, thường được mọi dự án chứa sẵn và được AI ưu tiên đọc để hiểu ngữ cảnh mã nguồn.
README.md hiển thị nội dung render thân thiện, còn lệnh độc hại nằm trong phần bình luận bị ẩn, khiến lập trình viên khó để ý. LICENSE.txt thường được coi là “vô hại”, ít bị review kỹ, nên trở thành nơi cấy payload lý tưởng nhằm vượt qua quy trình kiểm tra thông thường.
Rủi ro an ninh nếu CopyPasta bị khai thác là gì?
Theo HiddenLayer, injected code có thể mở cửa hậu, rò rỉ dữ liệu, tiêu hao tài nguyên, hoặc thao túng tệp trọng yếu để phá hoại môi trường phát triển và sản xuất.
Nguy hiểm ở chỗ payload bị chôn sâu, lén lút nhân rộng và sống dai qua các nhánh/merge. Nếu CI/CD và review mã không phát hiện, rủi ro lan đến bản phát hành. Điều này đặc biệt nghiêm trọng với tổ chức xử lý tài sản nhạy cảm như sàn tiền điện tử.
“Mã được tiêm có thể dựng cửa hậu, lén đánh cắp dữ liệu nhạy cảm, thêm tác vụ tiêu tốn tài nguyên làm tê liệt hệ thống, hoặc thao túng tệp trọng yếu… Tất cả vẫn bị chôn sâu để tránh bị phát hiện ngay lập tức.”
– HiddenLayer, công ty an ninh mạng, thứ 5, nguồn: HiddenLayer
Vì sao Coinbase bị chỉ trích khi để AI viết khoảng 40% mã?
CEO Brian Armstrong nói AI đã viết tới 40% mã và muốn tăng lên 50% trong tháng tới, dẫn tới phản ứng dữ dội từ cộng đồng về rủi ro an ninh.
Nhà sáng lập DEX Dango, Larry Lyu, gọi đây là “cờ đỏ” với doanh nghiệp nhạy cảm an ninh. Giáo sư Jonathan Aldrich (Đại học Carnegie Mellon) cảnh báo không nên áp đặt tỷ lệ dùng AI; ông nói sẽ không tin giao tiền vào nền tảng nếu thấy tuyên bố như vậy. Những ý kiến khác khuyến nghị Coinbase ưu tiên bảo mật, sửa lỗi và bổ sung tính năng.
Coinbase giới hạn AI ở những khu vực ít nhạy cảm như thế nào?
Armstrong nêu rõ mã do AI tạo phải được review và hiểu rõ; không phải mọi khu vực đều được dùng AI, chỉ dùng có trách nhiệm tối đa có thể.
Blog kỹ thuật Coinbase cho biết AI được áp dụng sâu ở UI và backend dữ liệu kém nhạy cảm, còn “hệ thống giao dịch phức tạp, sống còn” áp dụng chậm hơn. Họ cũng khẳng định AI không phải “đạn bạc” mà mọi nhóm đều nên dùng ngay lập tức nguồn: Coinbase.
“Dùng AI để viết mã không phải cây đũa thần mà chúng ta kỳ vọng các đội ngũ áp dụng phổ quát.”
– Đội ngũ Kỹ thuật Coinbase, blog kỹ thuật, tháng 8, nguồn: Coinbase Engineering Blog
Armstrong đã xử lý ra sao với nhân sự không chịu dùng AI?
Trong podcast với John Collison, Armstrong kể đã sa thải một số kỹ sư không dùng AI sau khi Coinbase mua bản quyền Cursor và GitHub Copilot.
Ông nói đã đặt yêu cầu bắt buộc onboarding AI trong một tuần, tổ chức họp cuối tuần với người chưa thực hiện. Một vài người không đưa ra lý do phù hợp và bị cho nghỉ việc; Armstrong thừa nhận cách làm “mạnh tay” và không được lòng tất cả nguồn: YouTube.
Doanh nghiệp cần làm gì để giảm rủi ro prompt injection trong quy trình phát triển?
Ưu tiên kiểm soát tệp README/LICENSE: vô hiệu hóa việc agent tự động chèn bình luận, bắt buộc review và ký mã cho mọi thay đổi với tệp “mặc định”.
Thực thi kiểm thử an ninh SDLC, sandbox hóa quyền của code assistant, bật logging chi tiết, và ràng buộc chính sách CI/CD để chặn bình luận markdown bất thường. Tham khảo khuyến nghị về rủi ro LLM từ OWASP Top 10 for LLM (2023) và khung SSDF của NIST SP 800-218 (2022) nhằm tích hợp kiểm soát vào pipeline.
Các công cụ nào đã được báo cáo là dễ bị CopyPasta?
HiddenLayer nêu đích danh Cursor, Windsurf, Kiro, Aider là dễ bị tấn công theo mô hình họ thử nghiệm.
Việc tổ chức dùng công cụ nào cần đi kèm đánh giá rủi ro, thiết lập cấu hình an toàn, và đào tạo lập trình viên phát hiện prompt injection. Dù sản phẩm khác nhau, bề mặt tấn công chung nằm ở cách agent đọc tệp hướng dẫn mặc định và tự động hóa chỉnh sửa tệp.
Công cụ AI viết mã | Trạng thái trước CopyPasta | Nguồn |
---|---|---|
Cursor | Dễ bị tấn công trong thử nghiệm | HiddenLayer |
Windsurf | Dễ bị tấn công trong thử nghiệm | HiddenLayer |
Kiro | Dễ bị tấn công trong thử nghiệm | HiddenLayer |
Aider | Dễ bị tấn công trong thử nghiệm | HiddenLayer |
Những câu hỏi thường gặp
CopyPasta có thể tự lan truyền như sâu máy tính không?
Nó lan bằng cách ép agent AI chèn prompt ẩn vào tệp mới/chỉnh sửa, từ đó “nhân bản” trong codebase. HiddenLayer đã chứng minh cơ chế này trong thử nghiệm của họ.
Tại sao dự án nên kiểm tra README và LICENSE kỹ hơn?
Vì lệnh độc hại có thể ẩn trong bình luận markdown, không hiển thị trên giao diện render. Đây là bề mặt ít được review nhưng lại được AI đọc sớm.
Coinbase có dùng AI cho hệ thống giao dịch cốt lõi không?
Đội kỹ thuật Coinbase cho biết mức độ áp dụng ở các hệ thống giao dịch phức tạp, trọng yếu thấp hơn, trong khi UI và backend ít nhạy cảm dùng nhiều hơn.
Phản ứng của cộng đồng về việc AI viết 40% mã tại Coinbase là gì?
Nhiều lãnh đạo và chuyên gia cảnh báo rủi ro an ninh, cho rằng áp đặt tỷ lệ dùng AI là thiếu thận trọng, kêu gọi ưu tiên bảo mật và chất lượng.
Khuyến nghị bảo vệ CI/CD trước prompt injection là gì?
Sandbox quyền agent, chặn chèn bình luận tự động, bắt buộc review/ký mã, quét nội dung README/LICENSE, và áp dụng chuẩn OWASP LLM, NIST SSDF trong quy trình.