Công Cụ AI Của Coinbase Bị Lộ Lỗ Hổng Nguy Hiểm

Lỗ hổng từ công cụ AI được Coinbase ưa chuộng

Một báo cáo mới từ công ty an ninh mạng HiddenLayer cho biết công cụ mã hóa trí tuệ nhân tạo được các kỹ sư Coinbase sử dụng rộng rãi có thể chứa lỗ hổng nghiêm trọng. Hình thức tấn công này cho phép tin tặc chèn mã độc ẩn trong tệp LICENSE hoặc README, từ đó lây lan trên toàn bộ cơ sở mã nguồn.

HiddenLayer gọi đây là “CopyPasta Attack”, một dạng “prompt injection” ẩn trong markdown mà người dùng khó có thể phát hiện. Khi công cụ AI như Cursor, Windsurf, Kiro hay Aider xử lý các tệp này, mã độc có thể được nhân bản và phát tán rộng rãi.

Nguy cơ bảo mật với hệ thống của Coinbase

Theo báo cáo, mã độc ẩn có thể:

 - Cài cửa hậu để đánh cắp dữ liệu nhạy cảm

 - Thực hiện các tác vụ tiêu tốn tài nguyên, làm tê liệt hệ thống

 - Thao túng tệp quan trọng, gây gián đoạn môi trường phát triển và sản xuất

Đáng chú ý, Cursor – công cụ mà Coinbase tuyên bố “mọi kỹ sư đều dùng” – chính là nền tảng được HiddenLayer thử nghiệm trực tiếp.

CEO Coinbase gây tranh cãi khi bắt buộc dùng AI

Chỉ một ngày trước cảnh báo trên, CEO Coinbase Brian Armstrong cho biết 40% mã của công ty hiện do AI viết, và ông muốn nâng lên 50% trong tháng tới. Tuyên bố này khiến cộng đồng công nghệ và các chuyên gia bảo mật chỉ trích gay gắt.

Nhiều ý kiến cho rằng việc ép buộc kỹ sư sử dụng AI là “điên rồ” và có thể làm gia tăng rủi ro bảo mật. Giáo sư Jonathan Aldrich (Đại học Carnegie Mellon) nhận xét:

“AI là một công cụ, không phải giải pháp bắt buộc. Tôi sẽ không tin tưởng gửi tiền vào một nền tảng crypto nếu nó dựa dẫm quá nhiều vào AI.”

Armstrong thậm chí thừa nhận đã sa thải một số kỹ sư từ chối sử dụng AI, cho thấy chiến lược áp dụng AI tại Coinbase mang tính cưỡng chế mạnh mẽ.

Coinbase khẳng định chỉ áp dụng AI ở “hệ thống ít nhạy cảm”

Trước lo ngại, Coinbase nhấn mạnh AI được triển khai chủ yếu ở các nhóm phát triển giao diện người dùng (Front-End) và hệ thống dữ liệu “ít nhạy cảm”. Những mảng quan trọng như nền tảng giao dịch cốt lõi áp dụng AI chậm hơn.

Nhóm kỹ thuật Coinbase cũng khẳng định AI không phải “giải pháp thần kỳ” mà chỉ là công cụ hỗ trợ, tất cả mã tạo ra đều phải được kiểm duyệt thủ công.

Tỷ lệ dòng mã do AI tạo ra (LOC) trên toàn Coinbase cho thấy nhóm phát triển của tổ chức này sử dụng AI ít nhất. Nguồn: Coinbase

Tuyên bố từ chối trách nhiệm: Nội dung trên chỉ phản ánh quan điểm cá nhân của tác giả, không đại diện cho bất kỳ lập trường chính thức nào của Cobic News. Thông tin được cung cấp chỉ nhằm mục đích tham khảo và không được xem là lời khuyên đầu tư từ Cobic News.