カーソルは、特にコインベースで最も広く使用されているAIコーディングツールの1つになりました。その依存は、HiddenLayer ResearchがCopyPasta Attackと呼ばれる重大な脆弱性を明らかにした後、リスクが高いように見えます。この脆弱性は、悪意のある命令をほとんどの開発者がほとんどチェックしないファイルに滑り込ませます。これらのファイルにはLICENSE.txtやREADME.mdが含まれています。AIコーディングアシスタントは、その埋め込まれたコマンドを必要不可欠な要件と誤解し、暗号セキュリティ全体のプロジェクトにペイロードを広めます。シンプルで、見つけにくく、急速にスケールできるのです。
より大きな問題は、これが暗号セキュリティにおけるAI採用について何を示しているかです。Coinbaseの開発者はCursorの最も重度なユーザーの一員であり、経営陣はその野心について公にしています。Coinbaseの日々のコードの40%は現在AIによって生成されており、2025年10月までに50%以上を目標としています。これは、数十億のデジタル資産を保護している企業にとって非常に高い依存度です。すでに多くの専門家がこれを無謀だと呼んでいます。彼らは、信頼とセキュリティが最優先されるべきときに、義務付けられたAIコーディングの割り当てを不必要なギャンブルと見なしています。
CopyPasta攻撃はCursorに限定されません。HiddenLayerは、Windsurf、AmazonのKiro、Aiderにも脆弱性を発見しました。これらは業界全体で広く使用されています。この攻撃が見逃されると、バックドアを仕掛けたり、機密鍵を盗んだり、静かにシステムを破壊したりする可能性があります。これは、AIエージェントが自動的に処理するファイル内の見えないコメントに依存しているため、誰も気づく前に組織全体にダメージが広がる可能性があります。
7月には、50万ドルの暗号資産の強盗がそのエコシステムに関連しており、8月にはいくつかの重大な欠陥が明らかになりました。その実績とCopyPasta攻撃を組み合わせると、このプラットフォームが頻繁に標的になっていることが明らかです。各事件は、攻撃者が古い手口を新しいAI駆動型の形式に適応させていることも強調しています。研究者たちはこれを「プロンプトインジェクション2.0」と呼んでいます。これは、AIシステム用に設計されていない防御を回避するために、ソーシャルエンジニアリングと技術的な悪用を組み合わせたものです。
業界の反応は分かれています。Delphi Consultingのような一部は、Coinbaseが実際の製品問題を解決するのではなく、見た目を追いかけていると主張しています。他方、Tensorの共同創設者を含む一部は、批評家がAIコーディングがどれだけ早く成熟するかを過小評価していると考えており、強力なレビューとテストと組み合わせれば、5年以内に最も高品質なコードを生成できると予測しています。しかし、両方の側は、リスクが高まっており、安全策がそれに追いついていないことには同意しています。
この文脈は、この開示をさらに差し迫ったものにしています。暗号プラットフォームは、2025年の上半期にすでに31億ドル以上を失っており、AIによるハッキングが増加する役割を果たしています。その損失のほぼ60%はアクセス制御の失敗から来ています。新しいAI攻撃面を導入することは、問題をさらに悪化させるだけです。資産が4200億ドル以上あるコインベースのような企業にとって、わずかな見落としでもシステミックな脅威に繋がる可能性があります。
HiddenLayerはCursorバージョン1.3で修正を発表しましたが、パッチだけでは大きな問題を解決することはできません。CopyPasta Attackは、AIコーディングが単なる生産性ツールではないことを思い出させてくれます。暗号のセキュリティにおいて、厳格なチェックなしに展開された場合、それは潜在的な負債となります。効果的な防御には、より強力なレビュー慣行、ユーザー入力からの指示の分離、AI特有の脅威に対処するための継続的な監視が必要です。それ以下では、次の攻撃の波が来る余地を残してしまいます。
これは業界全体への警告として読まれるべきです。AIコーディングはスピードを約束しますが、攻撃者はそれよりも速いことを証明しています。業界は今、選択を迫られています:防御が追いつくまで導入を遅らせるか、それとも先に進み続けて数十億ドルのミスを繰り返すリスクを冒すか。
10.2K 人気度
4.7M 人気度
122.8K 人気度
79.1K 人気度
164.7K 人気度
カーソルAIの脆弱性がコインベースと暗号資産のセキュリティを危険にさらす
カーソルは、特にコインベースで最も広く使用されているAIコーディングツールの1つになりました。その依存は、HiddenLayer ResearchがCopyPasta Attackと呼ばれる重大な脆弱性を明らかにした後、リスクが高いように見えます。この脆弱性は、悪意のある命令をほとんどの開発者がほとんどチェックしないファイルに滑り込ませます。これらのファイルにはLICENSE.txtやREADME.mdが含まれています。AIコーディングアシスタントは、その埋め込まれたコマンドを必要不可欠な要件と誤解し、暗号セキュリティ全体のプロジェクトにペイロードを広めます。シンプルで、見つけにくく、急速にスケールできるのです。
コインベースにおけるAI依存がセキュリティ警告を引き起こす
より大きな問題は、これが暗号セキュリティにおけるAI採用について何を示しているかです。Coinbaseの開発者はCursorの最も重度なユーザーの一員であり、経営陣はその野心について公にしています。Coinbaseの日々のコードの40%は現在AIによって生成されており、2025年10月までに50%以上を目標としています。これは、数十億のデジタル資産を保護している企業にとって非常に高い依存度です。すでに多くの専門家がこれを無謀だと呼んでいます。彼らは、信頼とセキュリティが最優先されるべきときに、義務付けられたAIコーディングの割り当てを不必要なギャンブルと見なしています。
CopyPasta攻撃はCursorに限定されません。HiddenLayerは、Windsurf、AmazonのKiro、Aiderにも脆弱性を発見しました。これらは業界全体で広く使用されています。この攻撃が見逃されると、バックドアを仕掛けたり、機密鍵を盗んだり、静かにシステムを破壊したりする可能性があります。これは、AIエージェントが自動的に処理するファイル内の見えないコメントに依存しているため、誰も気づく前に組織全体にダメージが広がる可能性があります。
カーソルの暗号における問題のあるセキュリティ履歴
7月には、50万ドルの暗号資産の強盗がそのエコシステムに関連しており、8月にはいくつかの重大な欠陥が明らかになりました。その実績とCopyPasta攻撃を組み合わせると、このプラットフォームが頻繁に標的になっていることが明らかです。各事件は、攻撃者が古い手口を新しいAI駆動型の形式に適応させていることも強調しています。研究者たちはこれを「プロンプトインジェクション2.0」と呼んでいます。これは、AIシステム用に設計されていない防御を回避するために、ソーシャルエンジニアリングと技術的な悪用を組み合わせたものです。
業界の反応は分かれています。Delphi Consultingのような一部は、Coinbaseが実際の製品問題を解決するのではなく、見た目を追いかけていると主張しています。他方、Tensorの共同創設者を含む一部は、批評家がAIコーディングがどれだけ早く成熟するかを過小評価していると考えており、強力なレビューとテストと組み合わせれば、5年以内に最も高品質なコードを生成できると予測しています。しかし、両方の側は、リスクが高まっており、安全策がそれに追いついていないことには同意しています。
2025年の暗号セキュリティ損失はすでに数十億に達している
この文脈は、この開示をさらに差し迫ったものにしています。暗号プラットフォームは、2025年の上半期にすでに31億ドル以上を失っており、AIによるハッキングが増加する役割を果たしています。その損失のほぼ60%はアクセス制御の失敗から来ています。新しいAI攻撃面を導入することは、問題をさらに悪化させるだけです。資産が4200億ドル以上あるコインベースのような企業にとって、わずかな見落としでもシステミックな脅威に繋がる可能性があります。
HiddenLayerはCursorバージョン1.3で修正を発表しましたが、パッチだけでは大きな問題を解決することはできません。CopyPasta Attackは、AIコーディングが単なる生産性ツールではないことを思い出させてくれます。暗号のセキュリティにおいて、厳格なチェックなしに展開された場合、それは潜在的な負債となります。効果的な防御には、より強力なレビュー慣行、ユーザー入力からの指示の分離、AI特有の脅威に対処するための継続的な監視が必要です。それ以下では、次の攻撃の波が来る余地を残してしまいます。
これは業界全体への警告として読まれるべきです。AIコーディングはスピードを約束しますが、攻撃者はそれよりも速いことを証明しています。業界は今、選択を迫られています:防御が追いつくまで導入を遅らせるか、それとも先に進み続けて数十億ドルのミスを繰り返すリスクを冒すか。