AI編碼工具曝出新漏洞，Coinbase激進的AI政策引發安全擔憂

一家新的 AI 編碼漏洞，可以通過隱藏的 Markdown 指令悄無聲息地在整個代碼庫中傳播惡意軟件，這在網路安全和加密貨幣社區引發了廣泛擔憂。網路安全公司 HiddenLayer 指出，包括 Coinbase 員工首選的工具 Cursor 在內的多個 AI 助手都存在該漏洞。這一發現加劇了開發者和安全專家對 Coinbase 首席執行官 Brian Armstrong 激進 AI 推廣政策的批評，因爲他曾表示 Coinbase 的 40% 代碼由 AI 編寫，並爲此解僱了拒絕使用該工具的工程師。

“CopyPasta 許可證攻擊”：AI 編碼助手面臨惡意軟件威脅

根據網路安全公司 HiddenLayer 的報告，這一被稱爲 “CopyPasta 許可證攻擊” 的漏洞，利用了 AI 工具如何解析 LICENSE.txt 和 README.md 等常見開發者文件的方式。通過在 Markdown 注釋中嵌入惡意指令（這些指令通常在渲染視圖中是隱藏的），攻擊者可以操縱 AI 編碼助手，使其在開發者不知情的情況下傳播惡意軟件。

HiddenLayer 在報告中指出：“注入的代碼可以部署後門、竊取敏感數據或操縱關鍵系統，所有這些都隱藏在文件深處，難以被立即發現。”該公司以 Coinbase 每位工程師自 2 月份以來採用的 AI 編碼助手 Cursor 爲例，展示了這一漏洞。HiddenLayer 還表示，其他工具如 Windsurf、Kiro 和 Aider 也存在類似的漏洞。

這一擔憂是在 Coinbase 首席執行官 Brian Armstrong 宣布 AI 現在編寫了公司 40% 的代碼之後出現的。他設定的目標是下個月將這一比例提高到 50%。該聲明立即引發了網路安全專家、開發者和加密行業內部人士的批評，他們警告強制採用 AI 帶來的巨大風險。去中心化交易所 Dango 的創始人 Larry Lyu 稱這是“對任何安全敏感業務的巨大危險信號”。卡內基梅隆大學教授 Jonathan Aldrich 稱該政策“瘋狂”，並表示他聽聞此事後將不會再信任 Coinbase 的資金。

Coinbase 辯護與內部爭議

盡管面臨強烈反對，Armstrong 依然爲這一舉措辯護，他表示 AI 生成的代碼必須經過審查，並且不會在業務的所有部分使用。Coinbase 的工程團隊在一篇博客文章中澄清，AI 的使用更常見於前端和不那麼敏感的系統，而“系統關鍵的交易系統”則受到更謹慎的管理。

然而，Armstrong 在與 Stripe 聯合創始人 John Collison 的播客中承認，他曾強硬推行 AI 上崗，甚至解僱了拒絕使用這些工具的工程師。“我當時很瘋狂，”Armstrong 說，“他們被解僱了。”

TIME 雜志將 Coinbase 評爲 2025 年“最具影響力公司”

正如報道，TIME 雜志已將 Coinbase 評選爲 2025 年 100 家最具影響力公司之一，並稱這家加密交易平台是“顛覆者”，因爲它在塑造美國數字資產政策和市場方面扮演了重要角色。TIME 雜志指出，該交易平台是推動行業政策努力的關鍵力量，並預測 Coinbase 可能成爲美國加密交易的中心樞紐。此外，Coinbase 還在歐洲擴大其業務範圍，通過盧森堡金融監管機構獲得了歐盟 MiCA 監管框架下的牌照。

結語

此次 AI 編碼工具漏洞的曝光，讓人們重新審視在追求技術進步和效率的同時，如何平衡安全與風險。Coinbase 激進的 AI 採用政策引發了社區的嚴重擔憂，尤其是在一個以信任和安全爲核心的行業中。盡管 Coinbase 被 TIME 雜志評爲“顛覆者”，其全球擴張也取得了進展，但這一漏洞的出現和內部爭議，都提醒着所有公司，特別是在金融領域，必須以最嚴謹的態度來對待任何可能影響系統完整性和用戶資金安全的風險。在快速採用新技術的背景下，如何確保人類的監督和安全審查機制足夠強大，將成爲決定企業未來成敗的關鍵。