شرکت امنیت سایبری HiddenLayer به تازگی هشدار داده است که ویروسی میتواند به صورت مخفیانه دستورات مخرب را به ابزار کدنویسی AI هوش مصنوعی Cursor تزریق کند. این ابزار که توسط توسعهدهندگان سراسر جهان و به ویژه تیم مهندسی کوینبیس مورد استفاده قرار میگیرد، دارای آسیبپذیری است که به هکرها اجازه میدهد بدافزار را در کدها پخش کنند.
حمله CopyPasta و تهدیدات امنیتی مرتبط با هوش مصنوعی
این حمله که با نام «حمله CopyPasta License Attack» شناخته میشود، دستورات مخرب را در فایلهای رایج توسعهدهندگان مانند LICENSE.txt و README.md پنهان میکند، به طوری که ابزارهای AI بدون اطلاع کاربر آنها را اجرا میکنند. این دستورات مخفی شده در قالب کامنتهای مارکداون قرار میگیرند و به سرعت در سراسر پروژههای کدنویسی منتشر میشوند.
HiddenLayer تأکید کرده است که این روش میتواند برای ایجاد دربهای پشتی، استخراج مخفیانه دادهها، انجام عملیات سنگین و آسیبرسان و یا دستکاری فایلهای حیاتی استفاده شود، همه اینها به گونهای که به سختی قابل شناسایی باشند.
رویکرد کوینبیس در استفاده مسئولانه از هوش مصنوعی و نگرانیهای امنیتی
این هشدار پس از اعلام مدیرعامل کوینبیس، برای استفاده گستردهتر از کدهای تولید شده توسط هوش مصنوعی منتشر شده است؛ اقدامی که با واکنشهای منفی از سوی کارشناسان امنیتی و فعالان حوزه فناوری مواجه شده است.
برخی از منتقدان مانند بنیانگذار صرافی غیرمتمرکز Dango و اساتید دانشگاه کارنگی ملون، استفاده اجباری از هوش مصنوعی را در محیطهای حساس امنیت سایبری غیرمنطقی دانستهاند. در مقابل، مدیرعامل کوینبیس تأکید کرده است که کدهای تولید شده توسط هوش مصنوعی باید به دقت بررسی شوند و استفاده مسئولانه از این فناوری باید گسترش یابد.
تیم مهندسی کوینبیس نیز اعلام کرده است که استفاده از هوش مصنوعی بیشتر در بخشهای رابط کاربری و دادههای کمتر حساس است و در سیستمهای حیاتی و پیچیده با احتیاط بیشتری به کار گرفته میشود. این گزارش همچنین اشاره کرده است که مدیرعامل کوینبیس در گذشته مهندسانی را که از ابزار کدنویسی AI استفاده نکرده بودند، اخراج کرده است.
این موضوع نشاندهنده جدیت این شرکت در پذیرش سریع فناوری هوش مصنوعی در فرآیندهای توسعه نرمافزاری است، هرچند با چالشها و نگرانیهای امنیتی قابل توجهی همراه است.
