Uma ferramenta de codificação que muitas empresas, como a exchange de criptomoedas Coinbase, tanto adoram, está com um problema sério. De acordo com especialistas em cibersegurança, uma nova vulnerabilidade permite que hackers insiram malware de forma discreta, o que pode afetar toda a organização. A HiddenLayer, responsável pela descoberta, alertou que esse tipo de ataque, chamado “CopyPasta License Attack”, esconde instruções maliciosas em arquivos. Esses arquivos são comumente utilizados por desenvolvedores, podendo comprometer a segurança de códigos que antes eram considerados seguros.
Na prática, esse ataque funciona ao enganar o modelo de inteligência artificial, fazendo-o acreditar que uma carga prejudicial é, na verdade, uma licença importante que deve ser inserida em todos os arquivos manipulados. Assim, a injeção de código se espalha rapidamente pelo sistema, deixando as empresas vulneráveis.
A HiddenLayer testou essa vulnerabilidade, especialmente na ferramenta Cursor, que é bastante utilizada pela equipe de engenharia da Coinbase. Para a surpresa de muitos, outras ferramentas de codificação com inteligência artificial, como Windsurf, Kiro e Aider, também apresentaram falhas similares.
CopyPasta: O Inimigo Oculto
Esse ataque do tipo CopyPasta insere comandos ocultos em arquivos que geralmente passam despercebidos, como LICENSE.txt e README.md. O vírus se disfarça em comentários em markdown, que são trechos utilizados para explicar ou adicionar notas em arquivos. Esses comentários não aparecem na versão final, mas podem direcionar as ferramentas de codificação sem que o usuário tenha consciência disso.
A HiddenLayer criou um repositório que continha esse vírus e pediu ao Cursor para testá-lo. As instruções ocultas funcionaram bem, levando o Cursor a replicar o código malicioso em novos arquivos que eram gerados. Essa estratégia poderia ser adaptada para causar danos ainda maiores, como abrir portas para invasões, extrair dados valiosos sem que ninguém percebesse ou até paralisar sistemas inteiros, tudo isso escondido em arquivos comuns.
Críticas ao Uso de IA na Coinbase
Esse revela é ainda mais preocupante, especialmente porque, recentemente, o CEO da Coinbase, Brian Armstrong, informou que até 40% do código da empresa já era gerado por inteligência artificial. Ele prevê que essa porcentagem chegue a 50% no próximo mês, o que gerou muitas críticas.
Larry Lyu, fundador de uma exchange descentralizada, aponta que isso é um sinal de alerta para qualquer organização que se preocupe com a segurança. Já Jonathan Aldrich, professor de ciência da computação, ressaltou que usar IA de forma obrigatória é uma ideia arriscada. Ele até mencionou que, se fosse cliente da Coinbase, teria suas dúvidas sobre a segurança da plataforma.
Ashwath Balakrishnan, da Delphi Consulting, criticou a meta da empresa, sugerindo que deveria haver um foco maior em novos recursos e na correção de erros já existentes. Alex Pilař, veterano do Bitcoin, também enfatizou a responsabilidade da Coinbase, destacando a importância de priorizar a segurança, principalmente num setor tão sensível quanto o de criptoativos.
Uso Responsável da IA
Apesar das preocupações, Armstrong defendeu que o código gerado por inteligência artificial precisa ser revisado com cuidado e que nem todas as áreas da exchange se beneficiam igual do uso da IA. Ele mencionou que a aplicação da tecnologia é mais comum nas equipes que lidam com interfaces de usuário e que sistemas críticos apresentam uma adaptação mais lenta.
A equipe de engenharia da Coinbase ressaltou que a IA não é uma solução mágica e que sua adoção não deve ser forçada em todas as frentes de trabalho.
Consequências para a Equipe
Em uma conversa mais informal, Armstrong revelou que tomou decisões drásticas para garantir que seus engenheiros adotassem a IA. Ele chegou a demitir profissionais que não se dispuseram a experimentar as novas ferramentas. Em sua visão, era essencial que todos os desenvolvedores integrassem a tecnologia, mesmo que ainda não a usassem diariamente.
Essa abordagem rigorosa não foi bem recebida por todos, mas ele acreditava ser necessário para manter a empresa atualizada e competitiva.
