Uma vulnerabilidade recém-divulgada em uma ferramenta de codificação com IA muito usada pela Coinbase tem gerado preocupações nos setores de cibersegurança e criptomoedas.
Pontos-chave:
- Uma nova exploração de codificação com IA pode se propagar silenciosamente por todo o código-fonte usando instruções em Markdown ocultas.
- A ferramenta preferida pela Coinbase, Cursor, está entre várias assistentes de IA mostradas como vulneráveis.
- A implementação agressiva de IA pelo CEO Brian Armstrong tem causado reação de desenvolvedores e especialistas em segurança.
Segundo a empresa de cibersegurança HiddenLayer, a falha permite que invasores injetem código malicioso de forma furtiva que pode se espalhar por todo o código-fonte de uma organização com mínima interação do usuário.
O ataque, denominado “CopyPasta License Attack” (Ataque CopyPasta License), explora como as ferramentas de IA interpretam arquivos comuns de desenvolvedores, como LICENSE.txt e README.md.
Ao incorporar instruções nocivas em comentários Markdown, muitas vezes ocultos das visualizações renderizadas, invasores podem manipular assistentes de código IA para propagar malware sem que os desenvolvedores percebam.
“Códigos inseridos podem instalar uma backdoor, exfiltrar dados confidenciais ou manipular sistemas críticos, tudo enquanto permanecem ocultos dentro dos arquivos”, disse a HiddenLayer em um relatório de quinta-feira.
A empresa demonstrou a exploração usando o Cursor, o assistente de codificação IA supostamente adotado por todos os engenheiros da Coinbase até fevereiro.
A HiddenLayer afirmou que vulnerabilidades semelhantes estavam presentes em outras ferramentas, incluindo Windsurf, Kiro e Aider.
A preocupação surge um dia após o CEO da Coinbase, Brian Armstrong, afirmar que a IA já escreve até 40% do código da empresa, um percentual que ele pretende elevar para 50% no próximo mês.
O anúncio gerou críticas de especialistas em cibersegurança, desenvolvedores e insiders do cripto que alertaram para os riscos ligados à adoção mandata de IA.
“Este é um grande sinal de alerta para qualquer negócio sensível à segurança”, disse Larry Lyu, fundador da exchange descentralizada Dango.
O professor da Carnegie Mellon, Jonathan Aldrich, chamou a política de “insanidade”, acrescentando que não confiaria seus fundos à Coinbase após ouvi-la.
Ashwath Balakrishnan, da Delphi Consulting, chamou a investida de “performática e vaga”, enquanto o bitcoiner Alex Pilař ressaltou que a Coinbase, como um custodiante cripto de grande porte, deve priorizar a segurança sobre métricas de adoção de IA.
Armstrong defendeu a medida, afirmando que o código gerado por IA ainda precisa ser revisado e não é utilizado em todas as áreas da empresa.
Em post no blog, a equipe de engenharia da Coinbase esclareceu que o uso de IA é mais comum no front-end e em sistemas menos sensíveis, enquanto “sistemas de câmbio críticos” permanecem mais cautelosos.
No entanto, Armstrong admitiu durante um podcast com John Collison, cofundador da Stripe, que impôs a onboarding de IA na Coinbase, chegando a demitir engenheiros que se recusaram a usar as ferramentas.
“Eu saí do script,” disse Armstrong. “Eles foram demitidos.”
TIME classifica a Coinbase como um “Disruptor” entre as maiores empresas influentes de 2025
Conforme reportado, a TIME reconheceu a Coinbase como uma das 100 empresas mais influentes de 2025, classificando a exchange como um “disruptor” por seu papel significativo na formulação de políticas de ativos digitais nos EUA e nos mercados.
A TIME destacou a Coinbase como motor-chave dos esforços de políticas do setor e previu que a Coinbase pode se tornar o hub central para negociações de cripto nos EUA.
Além dos EUA, a Coinbase está expandindo sua presença na Europa, obtendo uma licença sob o regime regulatório MiCA da UE por meio do regulador financeiro de Luxemburgo.
A matéria AI Coding Tool Used by Coinbase Exposes Firms to Self-Spreading Malware apareceu originalmente no Cryptonews.
