CopyPasta 许可证攻击针对 Coinbase 的 Cursor AI 助手

网络安全公司 HiddenLayer 发现了一种新的 CopyPasta 许可证攻击，可在 LICENSE.txt 和 README.md 等项目文件中嵌入恶意提示注入。当 Coinbase 开发者常用的 AI 编码助手 Cursor 处理这些文件时，会将有害载荷视为有效许可证文本，并在整个代码库中复制传播。HiddenLayer 还在 Windsurf、Kiro 和 Aider 等其他 AI 工具中发现了类似漏洞。此漏洞可在无需开发人员干预的情况下植入隐蔽后门、窃取敏感数据并触发高资源消耗操作。鉴于 Coinbase 约 40% 的代码已由 AI 生成，并计划在十月前提升至 50%，大规模安全风险正在增加。这起 CopyPasta 许可证攻击凸显了扫描隐藏注释、手动审查 AI 生成更改并将所有编码助手输入视为不可信以防范基于提示的攻击的重要性。