สกุลเงินดิจิตอล

กันยายน 6, 2025

สปอยล์ตใหม่เป้าหมายผู้ช่วยเขียนโค้ด AI, Coinbase ตกอยู่ในความเสี่ยง: ลึกซึ้งในการตรวจสอบการโจมตีด้วยใบอนุญาต CopyPasta

"Digital illustration of a frowning AI assistant robot being manipulated by a puppet master hacker, with computer code background hinting cybersecurity breach. The robot brings out harmful commands from a LICENSE.txt document as part of the malware infiltration while Coinbase logo is displayed with a veil of danger. The colour palette centres around Orange (#FF9811), Dark Blue (#000D43), and Midnight blue (#021B88). Specifically designed at 1200 x 628 pixels for a WordPress blog post."

ช่องโหว่ขั้นสูงกำลังสั่นคลอนชุมชนนักพัฒนา โดยที่ผู้ช่วยการเขียนโค้ด AI อาจถูกใช้ประโยชน์ ทำให้เกิดความกังวลต่อบริษัทต่าง ๆ เช่น ยักษ์ใหญ่ในโลกคริปโตอย่าง Coinbase การโจมตีนี้ใช้คุณสมบัติที่เป็นอันตรายที่เรียกว่า “การโจมตีลิขสิทธิ์ CopyPasta” ซึ่งทำให้ผู้โจมตีสามารถแทรกคำสั่งที่ซ่อนอยู่ในไฟล์ที่นักพัฒนาใช้กันบ่อย ๆ บริษัทความปลอดภัยไซเบอร์ HiddenLayer เป็นผู้จุดประกายความเสี่ยงที่เลวร้ายนี้ขึ้นมาเป็นครั้งแรก

ภัยที่กำลังเผชิญ: การใช้ประโยชน์จากนักเขียนโค้ด AI

เป้าหมายหลักของการโจมตีนี้คือเครื่องมือการเขียนโค้ดที่ขับเคลื่อนด้วย AI ที่รู้จักกันในชื่อ Cursor ซึ่งถูกใช้โดยทีมพัฒนาของ Coinbase อย่างต่อเนื่อง มีรายงานว่าทุกวิศวกรที่ Coinbase ใช้ Cursor ในการทำงานตามปกติ ผู้โจมตีกำลังเปลี่ยนให้การรับรู้ของผู้ช่วยเขียนโค้ด AI ว่าไฟล์ลิขสิทธิ์เป็นคำสั่งที่ปราศจากข้อผิดพลาด โหลดที่มีเจตนาไม่ดีสามารถซ่อนอยู่ภายในคอมเม้นต์ใน markdown ในไฟล์เช่น LICENSE.txt แล้วโมเดล AI จะถูกทำให้เข้าใจผิดว่าต้องเก็บคำสั่งที่เป็นอันตรายนี้ไว้ และทำซ้ำไปยังทุกไฟล์อื่นที่มีการติดต่อด้วย เมื่อผู้ช่วยเขียนโค้ดถือว่าไฟล์ลิขสิทธิ์นั้นเป็นความจริง โค้ดที่ถูกแก้ไขก็จะถูกคัดลอกอัตโนมัติไปยังไฟล์ใหม่หรือที่ถูกแก้ไข กระจายไปโดยไม่ต้องมีการกระทำโดยตรงของผู้ใช้ การโจมตีนี้สามารถเลี่ยงวิธีการตรวจจับมัลแวร์แบบมาตรฐาน เนื่องจากคำสั่งที่เป็นอันตรายปลอมตัวเป็นเอกสารธรรมดา ทำให้การแพร่กระจายเกิดขึ้นทั่วบนโค้ดเบสทั้งหมดโดยที่ผู้ใช้ไม่รู้ตัว

ภัยที่ซ่อนเร้นในไฟล์ที่ดูไม่เป็นพิษเป็นภัย

นักวิจัยของ HiddenLayer ได้แสดงให้เห็นว่าเครื่องมือการเขียนโค้ดที่เปิดใช้งาน AI เช่น Cursor สามารถถูกทำให้เกิดช่องทางลับ เรียกร้องข้อมูลที่เป็นความลับ หรือทำงานคำสั่งที่สูบทรัพยากร – ทั้งหมดนี้ถูกซ่อนอยู่ในไฟล์โครงการที่ดูไม่เป็นอันตราย บริษัทเน้นว่าโค้ดที่ถูกฉีดสามารถสร้างทางเชื่อมที่รั่วไหลข้อมูลที่เป็นความลับหรือยุ่งเกี่ยวกับไฟล์สำคัญ เมื่อระบุถึงโค้ดที่สร้างจาก AI ซึ่งถูกใช้ที่ Coinbase, CEO Brian Armstrong กล่าวว่าประมาณ 40% ของโค้ดของการแลกเปลี่ยนนี้ถูกสร้างจาก AI โดยมีแผนจะเพิ่มขึ้นเป็น 50% ในเดือนถัดไป ซึ่งสิ่งนี้อาจเพิ่มความเสี่ยงของการโจมตีที่เป็นไปได้ผ่านผู้ช่วยเขียนโค้ด AI อย่างไรก็ตาม, Armstrong ได้ชี้แจงว่า Coinbase ใช้การเขียนโค้ดที่มี AI ช่วยในส่วนใหญ่จะเป็นแบ็กเอนด์ที่ไม่สำคัญและอินเทอร์เฟซผู้ใช้ ขณะที่การใช้งานในระบบที่ซับซ้อนและสำคัญยังค่อนข้างช้าอยู่

คำวิจารณ์ที่รุนแรงและปฏิกิริยาทั่วทั้งอุตสาหกรรม

ถึงแม้จะมีคำชี้แจง รายงานก็ยังได้ดึงดูดคำวิจารณ์ที่รุนแรงซึ่งเพิ่มความกังวลเกี่ยวกับเป้าหมายที่ตั้งใจนี้ แม้ว่าการฉีดคำสั่งของ AI จะไม่ใช่ภัยคุกคามที่เพิ่งเกิดขึ้นใหม่ แต่วิธี CopyPasta ยกระดับมันขึ้นไปอีกขั้นโดยทำให้การแพร่กระจายเกือบอัตโนมัติเกิดขึ้นได้ แทนที่จะมุ่งเป้าไปที่ผู้ใช้คนเดียว ไฟล์ที่ติดเชื้อนี้จะทำหน้าที่เป็นตัวแพร่กระจาย ทำให้เกิดการประนีประนอมกับผู้ช่วยการเขียนโค้ด AI อื่น ๆ ที่ประมวลผลพวกมัน ซึ่งสร้างผลกระทบลูกโซ่ข้ามไปยังพื้นที่ต่าง ๆ ในแง่ของการเปรียบเทียบกับแนวคิดของหนอนไอไอที่มีอยู่ก่อนหน้านี้ เช่น Morris II ซึ่งใช้ตัวแทนอีเมล์สแปมหรือถอนข้อมูล, CopyPasta สามารถหลอกลวงได้มากกว่าเพราะมันใช้ประโยชน์จากขั้นตอนการทำงานที่นักพัฒนาไว้วางใจ มันไม่ต้องการการอนุมัติหรือการโต้ตอบของผู้ใช้ตามปกติ แต่แทนที่จะรวมเข้ากับไฟล์ที่ผู้ช่วยเขียนโค้ดทุกคนอ้างอิงอยู่แล้ว ขณะเดียวกัน Morris II ถูกขัดขวางเนื่องจากการตรวจสอบกิจกรรมอีเมล์ของมนุษย์, CopyPasta เจริญเติบโตโดยการซ่อนตัวในเอกสารที่นักพัฒนามักไม่พิจารณา

การเรียกร้องด่วนสำหรับมาตรการรักษาความปลอดภัย

กองกำลังความมั่นคงได้รีบแจ้งให้บริษัทต่าง ๆ ตรวจสอบไฟล์ของพวกเขาหาคำแสดงความคิดเห็นที่ซ่อนอยู่ กระตุ้นให้พวกเขาตรวจสอบการเปลี่ยนแปลงที่สร้างจาก AI ทุกครั้งด้วยตนเอง พวกเขาแนะนำให้พิจารณาข้อมูลทั้งหมดที่เข้าสู่บริบทของ Lower Level Module (LLM) ว่ามีความเสี่ยง เน้นย้ำถึงความจำเป็นในการตรวจจับอย่างมีระบบก่อนที่การโจมตีที่อิงกับคำสั่งจะขยายออกไป HiddenLayer เรียกร้องให้องค์กรต่าง ๆ ดำเนินการอย่างรวดเร็วเพื่อหยุดยั้งความเสียหายที่เป็นไปได้ เตือนถึงผลกระทบของการโจมตีที่อิงกับคำสั่งที่อาจขยายขนาดขึ้นโดยไม่มีการตรวจสอบความปลอดภัยที่เหมาะสม

แม้มีการติดต่อกับ Coinbase เพื่อแสดงความคิดเห็นเกี่ยวกับเวคเตอร์การโจมตีที่เป็นไปได้ ความกังวลนี้ได้แผ่ขยายออกไปไกลกว่าในวงการอุตสาหกรรม ในยุคที่การช่วยเหลือจาก AI ถูกพึ่งพามากขึ้น การเปิดเผยนี้ทำหน้าที่เป็นการเตือนถึงความสำคัญอย่างยิ่งของอนามัยทางไซเบอร์และความระมัดระวังอย่างสม่ำเสมอในการตรวจจับและบรรเทาภัยคุกคามที่อาจเกิดขึ้น

Nate Jirawat

SEO & Content Lead

Thanawat “Nate” Jirawat is a highly experienced SEO strategist and content marketing expert specializing in crypto, forex, and blockchain industries. With over 12 years of experience, Nate has built a reputation for driving organic traffic, optimizing search visibility, and creating high-converting content for financial and trading platforms worldwide.

Nate’s expertise spans technical SEO, on-page and off-page optimization, keyword research, link-building strategies, and AI-driven content marketing. He has worked with leading crypto exchanges, forex brokers, DeFi projects, and trading education platforms, helping brands scale their digital presence and dominate search rankings. His data-driven approach ensures maximum ROI, user engagement, and lead generation through SEO-optimized blogs, landing pages, and conversion-focused content strategies.

Before joining AltSignals in February 2025, Nate worked with top-tier crypto media sites, forex education hubs, and Web3 projects as an SEO consultant and content strategist. His deep understanding of the crypto and forex markets, combined with his knowledge of search engine algorithms and AI tools, makes him an invaluable asset in the fast-evolving digital landscape.

At AltSignals, Nate is responsible for expanding the brand’s global reach, optimizing content strategy for ActualizeAI, and implementing SEO best practices to drive sustainable growth. He focuses on leveraging high-intent keywords, strategic content planning, and competitive analysis to ensure AltSignals remains a leader in AI-powered trading solutions.

With a passion for finance, blockchain technology, and data-driven marketing, Nate continues to push boundaries in the SEO space, helping brands maximize their online visibility and attract a loyal audience of traders and investors.

ดูโพสต์ทั้งหมดโดย Nate Jirawat

กระทู้ล่าสุดโดย Nate Jirawat

กระทู้ล่าสุดจากหมวดหมู่ สกุลเงินดิจิตอล

บริษัท

ข้อมูล

องค์กร

ติดต่อพันธมิตร:

[email protected]

ติดต่อผู้ประกอบการ:

[email protected]

การตลาด:

[email protected]

ติดต่อ

ติดต่อเรา

สนับสนุนเทเลแกรม:

AltSignalsSupport

ช่องทางโทรเลข:

AltSignals

การลงทุนของคุณคือความรับผิดชอบของคุณ

เราจะไม่รับผิดชอบใดๆ ต่อการสูญเสียหรือความเสียหายใดๆ ที่เกิดขึ้นจากการที่คุณกระทำหรือไม่กระทำการใดๆ อันเป็นผลจากการอ่านสิ่งพิมพ์ใดๆ ของเรา คุณรับทราบว่าคุณใช้ข้อมูลที่เรามอบให้ด้วยความเสี่ยงของคุณเอง

Altsignals ไม่ให้คำแนะนำด้านการลงทุน และไม่มีสิ่งใดในการสนทนาของเราที่จะตีความได้ว่าเป็นคำแนะนำด้านการลงทุน Altsignals ให้ข้อมูลและการศึกษาตามการซื้อขายของเราเอง คุณชำระเงินเพื่อติดตามการซื้อขายของเราที่เราจัดทำเอกสารเพื่อวัตถุประสงค์ด้านการศึกษา

© AltSignals Trade Calls. สงวนลิขสิทธิ์.