$NEIRO
🔥 Co się dzieje
SlowMist, duża firma zajmująca się cyberbezpieczeństwem w blockchainie, wydała pilne ostrzeżenie dotyczące krytycznej luki bezpieczeństwa w narzędziach do kodowania opartych na sztucznej inteligencji oraz nowoczesnych IDE (środowiskach integracyjnych). Według ich alertu:
Po prostu otwarcie niezaufanego folderu projektu w IDE z funkcjami pomocy AI może spowodować niezauważalne wykonanie szkodliwego kodu na Twoim komputerze — bez konieczności ręcznego uruchamiania skryptów.
Dotyczy to programistów zarówno na systemie Windows, jak i macOS i już zostało powiązane z rzeczywistymi przypadkami naruszenia bezpieczeństwa.
🧠 Jak działa atak
Atak wykorzystuje sposób, w jaki narzędzia AI przetwarzają pliki projektu, takie jak README.md i LICENSE.txt.
Atakujący ukrywają szkodliwe polecenia w komentarzach, które AI odczytuje jako instrukcje. Mogą one wywołać zainstalowanie malware lub backdoorów, gdy IDE przetwarza folder.
Narzędzia takie jak Cursor (i inne) są szczególnie narażone na tę lukę — demonstracje ataku już potwierdziły to ryzyko.
🪙 Dlaczego programiści kryptowalut są szczególnie narażeni
Programiści pracujący nad projektami kryptowalutowymi często przechowują lokalnie klucze prywatne, dane uwierzytelniające, ziarna portfeli lub skrypty wdrażania. Jeśli komputer dewelopera zostanie skompromitowany przez ten wektor:
Malware może wyeksfiltrować klucze prywatne lub dane uwierzytelniające.
Atakujący mogą następnie zabrać kryptowaluty, zmodyfikować kontrakty lub uzyskać trwały dostęp.
To nie jest tylko teoria — raporty wskazują, że programiści już doświadczyli naruszeń związanych z takim wzorcem ataku.
🦠 To nie izolowany problem — szersze kontekst
Ten alert wpisuje się w ogólny trend, w którym same narzędzia AI (lub eko-systemy, w których są zintegrowane), stają się powierzchniami ataku:
Poprzednie badania SlowMist wykazały ekspluatację ujawniającą klucze API wymian i klucze prywatne w systemach handlowych opartych na AI.
Systemy AI były nawet wykorzystywane do odkrywania luk zero-day wartych miliony w kontraktach inteligentnych — co pokazuje, jak dwustronne mogą być AI dla ochrony i ataków
