Menurut laporan dari CriptoNoticias, seorang peneliti keamanan independen mengungkapkan bahwa Coinbase AgentKit memiliki celah injeksi prompt, di mana penyerang dapat memanfaatkan input berbahaya untuk memancing AI agent memanggil alat dompet, sehingga dapat mentransfer aset kripto pengguna, dan dalam konteks tertentu berpotensi memicu eksekusi kode jarak jauh (RCE). Celah ini telah diserahkan ke program bounty bug Coinbase pada bulan Februari dan diverifikasi secara resmi, akhirnya diproses sebagai masalah tingkat sedang dan diberikan hadiah sebesar 2000 dolar AS. Namun, peneliti tersebut menegaskan bahwa tingkat keparahan masalah ini secara signifikan diremehkan, dan menurut penilaian CVSS seharusnya mendekati tingkat kritis.