$NEIRO
🔥 Co se děje
SlowMist, velká firma specializující se na kybernetickou bezpečnost v oblasti blockchainu, vydala naléhavé varování o kritické chybě v nástrojích pro kódování s umělou inteligencí a moderních IDE (integrovaných vývojových prostředích). Podle jejich upozornění:
Jen otevření neověřené složky projektu v IDE, které používá asistenty pro kódování s umělou inteligencí, může způsobit tiché spuštění škodlivého kódu na vašem počítači — aniž byste museli ručně spouštět žádné skripty.
Tento problém postihuje vývojáře na obou platformách Windows i macOS a již byl spojen s reálnými případy útoků.
🧠 Jak útok funguje
Útok využívá způsob, jakým nástroje AI pro kódování interpretují soubory projektu jako README.md a LICENSE.txt.
Útočníci skrývají škodlivé příkazy v komentářích, které AI čte jako příkazy. Tyto mohou spustit malware nebo způsobit otevření zpětných bránek, když IDE zpracovává složku.
Nástroje jako Cursor (a další) jsou v demonstracích tohoto útoku zvláště zranitelné.
🪙 Proč jsou vývojáři kryptoproduktů zvláště vystaveni riziku
Vývojáři pracující na kryptoproduktech často ukládají soukromé klíče, přístupové údaje k API, seedu peněženek nebo nasazovací skripty místně. Pokud je vývojový počítač zasažen touto cestou:
Malware může vykrást soukromé klíče nebo přístupové údaje.
Útočníci tak mohou ukrást kryptoměny, manipulovat s kontraktami nebo získat trvalý přístup.
Toto není jen teoretické riziko — hlášení ukazují, že vývojáři již utrpěli útoky spojené s touto metodikou.
🦠 Nejde o izolovaný případ — širší kontext
Toto upozornění souvisí s větším trendem, kdy samotné nástroje AI (nebo ekosystémy, ve kterých jsou integrovány) se stávají útočnými plochami:
Předchozí objevy SlowMist zahrnovaly využití explozí, které odhalily přístupové klíče burz a soukromé klíče v AI založených obchodních systémech.
AI systémy byly dokonce využity k objevení bezpečnostních chyb typu zero-day, které mají hodnotu milionů v chytrých kontraktech — což ukazuje, jak dvoustranné může být použití umělé inteligence pro obranu
