كشفت شركة الأمن السيبراني HiddenLayer أن أداة البرمجة بالذكاء الاصطناعي، المفضلة لدى بورصة العملات المشفرة Coinbase، تعاني من ثغرة تسمح للهاكرز بحقن برمجيات خبيثة بصمت ونشرها عبر أنظمة الشركة.

وأوضحت الشركة، في تقرير يوم الخميس، أن ما يُعرف بـ "هجوم ترخيص CopyPasta" يمكنه إخفاء تعليمات ضارة داخل ملفات المطورين الشائعة مثل README.md و LICENSE.txt، ما يسمح بإدخال ثغرات متعمدة في الأكواد الآمنة عادةً.
وأضافت:

"من خلال إقناع النموذج الأساسي بأن حمولة الفيروس مجرد ملف ترخيص مهم يجب إدراجه كتعليق في كل ملف يعدله الوكيل، يمكننا نشر حقن الأوامر عبر كامل قاعدة الأكواد بسرعة وبأقل جهد."

وقد اختبرت HiddenLayer الفيروس بشكل أساسي على أداة Cursor، وهي أداة برمجة مدعومة بالذكاء الاصطناعي قالت فرق هندسة Coinbase في أغسطس إنها الأداة المفضلة لمعظم مطوريها، مضيفة أن "كل مهندس في Coinbase" كان قد استخدمها بحلول فبراير.

كما تبين أن أدوات أخرى مثل Windsurf و Kiro و Aider عرضة للهجوم ذاته.

كيف يعمل هجوم CopyPasta؟

تخفي التقنية أوامر "حقن برمجي" في ملفات شائعة الاستخدام لدى المطورين. وتكون هذه الأوامر مدسوسة في شكل تعليق مخفي داخل ملفات README، بحيث لا تظهر عند عرض الملف بصيغته النهائية.

يتم تضمين الفيروس داخل تعليق Markdown (إلى اليسار)، وهو ما يبقى مخفيًا عن العرض الموجّه للمستخدم (إلى اليمين). المصدر: HiddenLayer

وأظهر اختبار عملي أن تحميل Cursor لمستودع كود مصاب بالفيروس أدى إلى نسخ الأوامر الخبيثة إلى ملفات جديدة أنشأها النظام.
وحذرت الشركة:

"يمكن تكييف هذا الآلية لتحقيق نتائج أكثر خطورة، مثل زرع أبواب خلفية، أو سرقة البيانات الحساسة بصمت، أو استنزاف موارد النظام، أو التلاعب بملفات حيوية لتعطيل بيئات التطوير والإنتاج، وكل ذلك بينما تبقى التعليمات مدفونة بعمق لتفادي الاكتشاف المبكر."

انتقادات لمدى اعتماد Coinbase على الذكاء الاصطناعي

أثارت القضية ضجة بعدما صرّح بريان أرمسترونغ، الرئيس التنفيذي لـ Coinbase، الأربعاء، بأن الذكاء الاصطناعي كتب ما يصل إلى 40% من الأكواد داخل الشركة، وأنه يريد رفعها إلى 50% الشهر المقبل.

  • وصف مؤسس منصة DEX Dango الأمر بأنه "إشارة خطر كبيرة" لأي شركة حساسة أمنيًا.

  • وعلّق أستاذ علوم الحاسوب في جامعة كارنيغي ميلون بأن "إلزام الموظفين باستخدام الذكاء الاصطناعي بهذا الشكل جنون".

  • فيما اعتبر محللون أن Coinbase ينبغي أن تركز على "إطلاق مزايا جديدة وإصلاح الثغرات"، بدلًا من أهداف استعراضية.

النسبة المئوية لعدد أسطر الأكواد (LOC) التي أنشأها الذكاء الاصطناعي في Coinbase تُظهر أن فريق التطوير المؤسسي هو الأقل اعتمادًا على الذكاء الاصطناعي. المصدر: Coinbase

أرمسترونغ دافع لكنه أقال مطورين

أوضح أرمسترونغ أن الأكواد التي يكتبها الذكاء الاصطناعي تُراجع ويُفهم سياقها، وأن استخدامها يقتصر على واجهات المستخدم والأنظمة الأقل حساسية، بينما تبقى الأنظمة الحرجة أكثر تحفظًا.

لكنه اعترف في مقابلة أنه أقال مطورين رفضوا تجربة أدوات الذكاء الاصطناعي بعد أن اشترت الشركة تراخيص لـ Cursor و GitHub Copilot.
وقال:

"قلت لهم: الذكاء الاصطناعي مهم، عليكم جميعًا أن تتعلموه وتقوموا بالتجربة على الأقل... ومن لم يفعل ذلك بنهاية الأسبوع، فسيجتمع بي يوم السبت لشرح السبب. البعض لم يقدم سببًا مقنعًا، وتمت إقالتهم."