Một lỗ hổng mã hóa AI mới có thể lén lút lan truyền phần mềm độc hại trong toàn bộ kho mã thông qua các lệnh Markdown ẩn, điều này đã gây ra sự lo ngại rộng rãi trong cộng đồng an ninh mạng và tài sản tiền điện tử. Công ty an ninh mạng HiddenLayer chỉ ra rằng nhiều trợ lý AI, bao gồm cả công cụ Cursor mà nhân viên Coinbase ưa chuộng, đều có lỗ hổng này. Phát hiện này đã làm gia tăng chỉ trích từ các nhà phát triển và chuyên gia an ninh đối với chính sách thúc đẩy AI quyết liệt của giám đốc điều hành Coinbase, Brian Armstrong, vì ông từng nói rằng 40% mã của Coinbase được viết bởi AI và đã sa thải các kỹ sư từ chối sử dụng công cụ này.
"Tấn công giấy phép CopyPasta": Trợ lý mã hóa AI đối mặt với phần mềm độc hại
Theo báo cáo của công ty an ninh mạng HiddenLayer, lỗ hổng được gọi là "Cuộc tấn công giấy phép CopyPasta" đã lợi dụng cách mà các công cụ AI phân tích các tệp như LICENSE.txt và README.md, những tệp phổ biến của nhà phát triển. Bằng cách nhúng các lệnh độc hại vào trong các chú thích Markdown (các lệnh này thường ẩn trong chế độ hiển thị), kẻ tấn công có thể thao túng trợ lý lập trình AI, khiến nó phát tán phần mềm độc hại mà nhà phát triển không hay biết.
HiddenLayer trong báo cáo đã chỉ ra: "Mã được chèn có thể triển khai cửa hậu, đánh cắp dữ liệu nhạy cảm hoặc thao túng hệ thống quan trọng, tất cả đều ẩn giấu trong sâu trong tệp, khó bị phát hiện ngay lập tức." Công ty đã lấy ví dụ về trợ lý mã AI Cursor mà mỗi kỹ sư của Coinbase đã áp dụng kể từ tháng 2 để minh họa cho lỗ hổng này. HiddenLayer cũng cho biết, các công cụ khác như Windsurf, Kiro và Aider cũng tồn tại lỗ hổng tương tự.
Lo ngại này xuất hiện sau khi Giám đốc điều hành Coinbase Brian Armstrong công bố rằng AI hiện đang viết 40% mã của công ty. Ông đặt mục tiêu nâng tỷ lệ này lên 50% vào tháng tới. Tuyên bố này ngay lập tức đã gây ra sự chỉ trích từ các chuyên gia an ninh mạng, nhà phát triển và những người trong ngành tài sản tiền điện tử, những người cảnh báo về những rủi ro lớn mà việc áp dụng AI bắt buộc mang lại. Người sáng lập sàn giao dịch phi tập trung Dango, Larry Lyu, cho rằng đây là "một tín hiệu nguy hiểm lớn cho bất kỳ doanh nghiệp nào nhạy cảm về an ninh". Giáo sư Jonathan Aldrich của Đại học Carnegie Mellon cho rằng chính sách này "điên rồ" và cho biết ông sẽ không còn tin tưởng vào quỹ của Coinbase sau khi nghe về điều này.
Coinbase biện hộ và tranh cãi nội bộ
Mặc dù phải đối mặt với sự phản đối mạnh mẽ, Armstrong vẫn bảo vệ động thái này, ông cho rằng mã được tạo ra bởi AI phải được xem xét và sẽ không được sử dụng trong tất cả các phần của doanh nghiệp. Nhóm kỹ sư của Coinbase đã làm rõ trong một bài viết trên blog rằng việc sử dụng AI thường phổ biến hơn ở các hệ thống phía trước và không nhạy cảm, trong khi "hệ thống giao dịch quan trọng" sẽ được quản lý cẩn thận hơn.
Tuy nhiên, Armstrong đã thừa nhận trong podcast với người đồng sáng lập Stripe, John Collison, rằng ông đã thúc đẩy mạnh mẽ việc sử dụng AI, thậm chí đã sa thải những kỹ sư từ chối sử dụng những công cụ này. "Lúc đó tôi đã rất điên rồ," Armstrong nói, "họ đã bị sa thải."
Tạp chí TIME đã đánh giá Coinbase là "Công ty có ảnh hưởng nhất" năm 2025
Như đã báo cáo, tạp chí TIME đã bầu chọn Coinbase là một trong 100 công ty có ảnh hưởng nhất năm 2025, và gọi nền tảng giao dịch tiền điện tử này là "kẻ phá vỡ", vì nó đóng vai trò quan trọng trong việc định hình chính sách và thị trường tài sản kỹ thuật số của Mỹ. Tạp chí TIME chỉ ra rằng nền tảng giao dịch này là lực lượng chính đứng sau những nỗ lực chính sách trong ngành, và dự đoán Coinbase có thể trở thành trung tâm giao dịch tiền điện tử của Mỹ. Bên cạnh đó, Coinbase cũng đang mở rộng hoạt động kinh doanh tại châu Âu, đã nhận được giấy phép theo khuôn khổ quy định MiCA của EU thông qua cơ quan quản lý tài chính Luxembourg.
Kết luận
Việc công khai lỗ hổng của công cụ mã hóa AI lần này đã khiến mọi người xem xét lại cách cân bằng giữa an ninh và rủi ro trong việc theo đuổi tiến bộ công nghệ và hiệu quả. Chính sách áp dụng AI quyết liệt của Coinbase đã gây ra sự lo ngại nghiêm trọng trong cộng đồng, đặc biệt là trong một ngành công nghiệp mà lòng tin và an ninh là cốt lõi. Mặc dù Coinbase được tạp chí TIME xếp hạng là "kẻ phá vỡ", và sự mở rộng toàn cầu của họ cũng đã đạt được tiến bộ, nhưng sự xuất hiện của lỗ hổng này và những tranh cãi nội bộ đã nhắc nhở tất cả các công ty, đặc biệt là trong lĩnh vực tài chính, phải có thái độ nghiêm túc nhất trong việc đối mặt với bất kỳ rủi ro nào có thể ảnh hưởng đến tính toàn vẹn của hệ thống và an ninh tài sản của người dùng. Trong bối cảnh công nghệ mới được áp dụng nhanh chóng, việc đảm bảo rằng cơ chế giám sát của con người và kiểm tra an toàn đủ mạnh sẽ trở thành yếu tố quyết định cho sự thành bại của doanh nghiệp trong tương lai.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
Công cụ mã hóa AI bị lộ lỗ hổng mới, chính sách AI quyết liệt của Coinbase gây lo ngại về an toàn.
Một lỗ hổng mã hóa AI mới có thể lén lút lan truyền phần mềm độc hại trong toàn bộ kho mã thông qua các lệnh Markdown ẩn, điều này đã gây ra sự lo ngại rộng rãi trong cộng đồng an ninh mạng và tài sản tiền điện tử. Công ty an ninh mạng HiddenLayer chỉ ra rằng nhiều trợ lý AI, bao gồm cả công cụ Cursor mà nhân viên Coinbase ưa chuộng, đều có lỗ hổng này. Phát hiện này đã làm gia tăng chỉ trích từ các nhà phát triển và chuyên gia an ninh đối với chính sách thúc đẩy AI quyết liệt của giám đốc điều hành Coinbase, Brian Armstrong, vì ông từng nói rằng 40% mã của Coinbase được viết bởi AI và đã sa thải các kỹ sư từ chối sử dụng công cụ này.
"Tấn công giấy phép CopyPasta": Trợ lý mã hóa AI đối mặt với phần mềm độc hại
Theo báo cáo của công ty an ninh mạng HiddenLayer, lỗ hổng được gọi là "Cuộc tấn công giấy phép CopyPasta" đã lợi dụng cách mà các công cụ AI phân tích các tệp như LICENSE.txt và README.md, những tệp phổ biến của nhà phát triển. Bằng cách nhúng các lệnh độc hại vào trong các chú thích Markdown (các lệnh này thường ẩn trong chế độ hiển thị), kẻ tấn công có thể thao túng trợ lý lập trình AI, khiến nó phát tán phần mềm độc hại mà nhà phát triển không hay biết.
HiddenLayer trong báo cáo đã chỉ ra: "Mã được chèn có thể triển khai cửa hậu, đánh cắp dữ liệu nhạy cảm hoặc thao túng hệ thống quan trọng, tất cả đều ẩn giấu trong sâu trong tệp, khó bị phát hiện ngay lập tức." Công ty đã lấy ví dụ về trợ lý mã AI Cursor mà mỗi kỹ sư của Coinbase đã áp dụng kể từ tháng 2 để minh họa cho lỗ hổng này. HiddenLayer cũng cho biết, các công cụ khác như Windsurf, Kiro và Aider cũng tồn tại lỗ hổng tương tự.
Lo ngại này xuất hiện sau khi Giám đốc điều hành Coinbase Brian Armstrong công bố rằng AI hiện đang viết 40% mã của công ty. Ông đặt mục tiêu nâng tỷ lệ này lên 50% vào tháng tới. Tuyên bố này ngay lập tức đã gây ra sự chỉ trích từ các chuyên gia an ninh mạng, nhà phát triển và những người trong ngành tài sản tiền điện tử, những người cảnh báo về những rủi ro lớn mà việc áp dụng AI bắt buộc mang lại. Người sáng lập sàn giao dịch phi tập trung Dango, Larry Lyu, cho rằng đây là "một tín hiệu nguy hiểm lớn cho bất kỳ doanh nghiệp nào nhạy cảm về an ninh". Giáo sư Jonathan Aldrich của Đại học Carnegie Mellon cho rằng chính sách này "điên rồ" và cho biết ông sẽ không còn tin tưởng vào quỹ của Coinbase sau khi nghe về điều này.
Coinbase biện hộ và tranh cãi nội bộ
Mặc dù phải đối mặt với sự phản đối mạnh mẽ, Armstrong vẫn bảo vệ động thái này, ông cho rằng mã được tạo ra bởi AI phải được xem xét và sẽ không được sử dụng trong tất cả các phần của doanh nghiệp. Nhóm kỹ sư của Coinbase đã làm rõ trong một bài viết trên blog rằng việc sử dụng AI thường phổ biến hơn ở các hệ thống phía trước và không nhạy cảm, trong khi "hệ thống giao dịch quan trọng" sẽ được quản lý cẩn thận hơn.
Tuy nhiên, Armstrong đã thừa nhận trong podcast với người đồng sáng lập Stripe, John Collison, rằng ông đã thúc đẩy mạnh mẽ việc sử dụng AI, thậm chí đã sa thải những kỹ sư từ chối sử dụng những công cụ này. "Lúc đó tôi đã rất điên rồ," Armstrong nói, "họ đã bị sa thải."
Tạp chí TIME đã đánh giá Coinbase là "Công ty có ảnh hưởng nhất" năm 2025
Như đã báo cáo, tạp chí TIME đã bầu chọn Coinbase là một trong 100 công ty có ảnh hưởng nhất năm 2025, và gọi nền tảng giao dịch tiền điện tử này là "kẻ phá vỡ", vì nó đóng vai trò quan trọng trong việc định hình chính sách và thị trường tài sản kỹ thuật số của Mỹ. Tạp chí TIME chỉ ra rằng nền tảng giao dịch này là lực lượng chính đứng sau những nỗ lực chính sách trong ngành, và dự đoán Coinbase có thể trở thành trung tâm giao dịch tiền điện tử của Mỹ. Bên cạnh đó, Coinbase cũng đang mở rộng hoạt động kinh doanh tại châu Âu, đã nhận được giấy phép theo khuôn khổ quy định MiCA của EU thông qua cơ quan quản lý tài chính Luxembourg.
Kết luận
Việc công khai lỗ hổng của công cụ mã hóa AI lần này đã khiến mọi người xem xét lại cách cân bằng giữa an ninh và rủi ro trong việc theo đuổi tiến bộ công nghệ và hiệu quả. Chính sách áp dụng AI quyết liệt của Coinbase đã gây ra sự lo ngại nghiêm trọng trong cộng đồng, đặc biệt là trong một ngành công nghiệp mà lòng tin và an ninh là cốt lõi. Mặc dù Coinbase được tạp chí TIME xếp hạng là "kẻ phá vỡ", và sự mở rộng toàn cầu của họ cũng đã đạt được tiến bộ, nhưng sự xuất hiện của lỗ hổng này và những tranh cãi nội bộ đã nhắc nhở tất cả các công ty, đặc biệt là trong lĩnh vực tài chính, phải có thái độ nghiêm túc nhất trong việc đối mặt với bất kỳ rủi ro nào có thể ảnh hưởng đến tính toàn vẹn của hệ thống và an ninh tài sản của người dùng. Trong bối cảnh công nghệ mới được áp dụng nhanh chóng, việc đảm bảo rằng cơ chế giám sát của con người và kiểm tra an toàn đủ mạnh sẽ trở thành yếu tố quyết định cho sự thành bại của doanh nghiệp trong tương lai.