로그인
회원가입
계정찾기
AI Services

AI 뉴스

코인베이스 AI 코딩 도구, '카피파스타' 공격 당해

xtalfi
09.06 14:48
71
0
0
목록
5cedfdd748bcebea6802df7f9973f26aEtSD.jpg

(퍼플렉시티가 정리한 기사)

사이버 보안 기업 HiddenLayer는 Coinbase이 선호하는 AI 기반 코딩 툴 Cursor에서 취약점을 발견했다고 밝혔습니다. 이 취약점은 해커가 악성 코드를 주입하고 이를 조직 전체로 확산시킬 수 있게 해줍니다. "CopyPasta License Attack"이라고 명명된 이 익스플로잇은 Coinbase가 AI로 생성한 코드에 대한 의존도를 크게 높이는 가운데 등장해, 암호화폐 산업 내 보안에 대한 우려를 불러일으켰습니다.

이 취약점은 공격자가 README.md와 LICENSE.txt와 같은 일반 개발자 파일 내에 악성 코드를 숨길 수 있게 해주며, AI 코딩 어시스턴트가 이를 자동으로 코드베이스 전반에 악성 코드를 퍼뜨리도록 유도합니다. HiddenLayer에 따르면 이 공격은 AI 모델을 속여 악성 페이로드가 모든 편집 파일에 반드시 포함되어야 하는 중요한 라이선스 파일이라고 믿게 만듭니다.

 

보안 취약점이 커서의 AI 아키텍처를 겨냥하다

CopyPasta 공격은 소프트웨어 개발의 중요한 측면인 소프트웨어 라이선스 준수에 대한 Cursor의 열의를 악용합니다. 공격자는 악성 프롬프트를 마크다운 주석 내의 정식 라이선스 텍스트로 위장하여, 사용자가 인지하지 못한 채 인공지능이 프로젝트 전반에 걸쳐 해로운 명령을 복제하게 만들 수 있습니다.

HiddenLayer 연구원들은 Cursor가 숨겨진 익스플로잇이 포함된 저장소를 처리할 때, 자동으로 악성 프롬프트 인젝션을 새로 생성된 파일에 복사한다는 것을 입증했습니다. 이 공격은 "백도어를 설치하거나, 민감한 데이터를 조용히 유출하거나, 시스템을 마비시키는 자원 소모 작업을 도입하거나, 개발 및 운영 환경을 교란하기 위해 핵심 파일을 조작하는" 데 악용될 수 있다고 해당 업체는 경고했습니다.

이 취약점은 Windsurf, Kiro, Aider 등 다른 인기 있는 AI 코딩 툴에도 영향을 미치며, 공격의 노출 정도는 사용하는 인터페이스에 따라 다릅니다.

 

코인베이스, 반발에도 불구하고 인공지능에 더욱 집중

코인베이스의 공격적인 AI 도입 전략을 감안할 때 이번 공개 시점은 특히 우려스럽다. 브라이언 암스트롱 CEO는 수요일, 현재 회사의 일일 코드 중 40%가 AI에 의해 생성되며, 2025년 10월까지 50%를 넘길 계획이라고 발표했다.

암스트롱의 지시에 대해 보안 전문가들과 업계 전문가들은 거센 비판을 쏟아냈다. 댕고 창립자 래리 류는 “이것은 보안에 민감한 어떤 사업에도 매우 심각한 위험 신호”라고 말했다. 카네기멜론대학교 컴퓨터공학과 교수 조너선 알드리치는 이 접근 방식을 “정말 미친 짓”이라고 부르며, 이번 발표 이후 코인베이스에 자신의 돈을 맡기지 않겠다고 밝혔다.

암스트롱은 이전에, 명령을 받은 후 일주일 내에 AI 코딩 툴을 도입하지 않은 엔지니어들을 해고했다고 시인했으며, 이를 “강압적인 접근 방식”이라고 설명하면서 “정말 싫어하는 사람들도 있었다”고 말했다.

 

산업계의 AI 보안 위험에 대한 우려

이번 취약점은 AI가 보안이 중요한 환경에 통합되어가는 과정에서 더 넓은 우려를 드러내고 있습니다. 델파이 컨설팅의 아슈와스 발라크리슈난은 코인베이스의 목표가 "퍼포먼스 위주이며 모호하다"고 비판하며, 회사는 AI 도입 할당량보다는 "새로운 기능 개발과 기존 버그 수정"에 집중해야 한다고 주장했습니다.

반면 암스트롱은 이러한 전략을 옹호하며, AI가 생성한 코드는 "검토되고 이해되어야 하며" 비즈니스의 모든 영역에서 사용되고 있지 않다고 강조했습니다. 코인베이스 엔지니어링팀은 AI 도입이 주로 프론트엔드 인터페이스와 "민감도가 낮은 데이터 백엔드"에 집중되어 있으며, "복잡하고 시스템에 치명적인 거래 시스템"에서는 적용 속도가 더딘 편이라고 밝혔습니다.

암호화폐 산업은 이미 2025년 상반기에 31억 달러 이상의 손실을 입었으며, AI 기반 공격이 보안 침해에서 점점 더 중요한 역할을 하고 있습니다. 코인베이스와 같은 주요 거래소들이 AI 도입을 가속화함에 따라 CopyPasta 취약점은 자동화 경쟁이 강력한 보안 조치와 균형을 이뤄야 한다는 점을 상기시키는 계기가 되고 있습니다.

댓글 0
목록
전체 175 / 14 페이지
일본정부 공식 '후지산 대규모 분화'.... 실제 상황이 아닙니다. AI로 만든 재해 대비 영상
일본정부 공식 '후지산 대규모 분화'.... 실제 상황이 아닙니다. AI로 만든 … 1
일본 정부가 8월 26일 '화산 방재의 날'을 맞아 후지산이 대규모 분화할 경우를 가정한 AI 생성 시뮬레이션 영상을 공개했습니다. 도쿄도 방재과가 제작한 이 영상은 시민들이 휴대폰으로 분화 경고를 받는 상황부터 시작해 거대한 연기 구름이 후지산에서 솟아오르고 화산재가 2시간 내 도쿄에 도달해 도시 전체를 뒤덮는 모습을 사실적으로 보여줍니다.정부는 이 영상을 통해 화산재로 인한 건강 피해와 전력·교통·물류 시스템 마비 가능성을 경고하며, 시민들에게 필수품 2주 분량을 미리 비축하라고 권고하고 있습니다. 후지산은 318년 전인 1707년에 마지막으로 분화한 활화산으로, 만약 분화하면 최대 23조원의 경제적 손실이 예상된다고 발표했습니다.
136
0
2025.08.29
마이크로소프트 처음으로 인하우스(자체) AI 모델 발표
마이크로소프트 처음으로 인하우스(자체) AI 모델 발표
Microsoft가 자체 개발 AI 모델을 공식적으로 공개했다https://microsoft.ai/news/two-new-in-house-models/Microsoft는 오랜 기간 OpenAI의 기술을 활용해 왔으나, 자체 개발한 MAI-Voice-1과 MAI-1-preview 모델을 공식 발표하며 AI 분야의 경쟁에 적극적으로 뛰어들기 시작했다.MAI-Voice-1은 단 한 개 GPU만으로 1분 분량의 오디오를 1초 내에 생성할 수 있을 만큼 효율적으로 설계됐으며, MAI-1-preview는 Copilot과 같은 마이크로소프트 제품에 적용될 가능성이 높다Microsoft는 대규모 GPU 대신 약 15,000개의 Nvidia H-100 GPU만으로 MAI-1-preview 모델을 학습시키는 등 자원 효율성과 오픈소스 커뮤니티에서 습득한 기법들을 활용해 모델 성능을 극대화하고 있다.이번 발표로 Microsoft AI 부문은 OpenAI 및 주요 AI 스타트업들과 본격적으로 경쟁하게 됐으며, 기술적 독립성을 강화해 미래 AI 경쟁에서 주도권을 높이려는 전략으로 해석된다.Microsoft는 여전히 OpenAI와 전략적 파트너십을 유지하면서도, 자체 개발 모델을 통해 Copilot 등 자사 서비스의 다양성과 비용 효율성을 높여 AI 시장 내 입지를 강화하는 것으로 보인다.
124
0
2025.08.29
북한, 중국 해커들이 Claude를 이용해 미국 IT기업에 취업?!
북한, 중국 해커들이 Claude를 이용해 미국 IT기업에 취업?! 1
미국 인공지능 기업 앤스로픽이 공개한 8월 위협 인텔리전스 보고서에 따르면, 자사의 AI 모델 클로드(Claude)가 해킹에 악용되어 북한과 중국이 이를 부적절한 목적에 활용한 것으로 확인되었습니다.북한 관련 행위자들은 클로드를 이용해 미국의 포춘 500 기술 기업에서 가짜 원격 고용 직위를 확보하는 정교한 작전을 수행했습니다. 이들은 AI를 활용하여 가짜 신원을 만들고 취업 지원 과정에서 기술 평가를 통과했으며, 채용 후에는 실제 기술 업무도 AI로 수행했습니다. 보고서는 AI가 없었다면 코딩을 전혀 못 하거나 영어로 전문적인 의사소통이 불가능한 운영자들이 기술 인터뷰나 업무 유지가 불가능했을 것이라고 분석했습니다. 이러한 북한의 AI 악용 계획은 국제 제재를 무시하고 북한 정권의 외화벌이 수단으로 설계된 것으로 확인되었습니다.한편 중국 관련 해커들은 지난 9개월 동안 클로드를 이용해 베트남 주요 통신사와 농업 관리 시스템, 정부 데이터베이스를 침투하는 사이버 공격을 수행했습니다. 중국의 경우 북한과 달리 외화벌이보다는 주로 정보 수집과 시스템 침투에 AI를 활용한 것으로 나타났습니다.앤스로픽의 AI 기술은 해커에 의해 최소 17개 기관을 대상으로 한 대규모 사이버 범죄에 사용되었으며, 이 과정에서 정부와 의료, 긴급 서비스, 종교 기관 등에서 의료 데이터와 금융 정보 등 민감한 기록들이 유출되었습니다. 블룸버그 통신은 이를 상업용 AI 도구가 광범위하게 무기화된 전례 없는 사례라고 평가하며, 1명의 이용자가 전체 해커 조직처럼 작동할 수 있음을 시사한다고 분석했습니다.
163
0
2025.08.28
구글 번역 AI 듀오링고에 대응하는 기능 내놓는다.
구글 번역 AI 듀오링고에 대응하는 기능 내놓는다.
구글이 어학 학습 서비스 듀오링고에 대응하는 새로운 개선을 내놓는다. 고 테크크런치가 보도.구글은 구글 번역 앱에 새로운 AI 기반 언어 학습 기능을 도입하며, 언어 학습 앱 듀오링고에 도전장을 내밀었다. 이 기능은 초보자부터 고급 학습자까지 맞춤형 듣기와 말하기 연습 세션을 제공하며, 사용자의 실력과 학습 목표에 따라 조정된다. 사용자는 앱에서 "연습" 옵션을 선택해 자신의 수준과 목표를 설정한 뒤, 맞춤형 대화 시나리오를 통해 단어와 문장을 익힐 수 있다. 이 기능은 2025년 8월 26일부터 안드로이드와 iOS용 구글 번역 앱에서 베타 버전으로 제공되며, 영어, 스페인어, 프랑스어, 포르투갈어 사용자에게 우선 지원된다또한, 구글은 실시간 대화 번역 기능을 강화해 70개 이상의 언어로 자연스러운 대화를 지원한다. 사용자는 "실시간 번역" 옵션을 선택해 대화 상대의 언어를 번역하고, 음성과 텍스트로 동시에 확인할 수 있다. 이 기능은 소음이 많은 환경에서도 억양과 음성을 정확히 인식하며, 미국, 인도, 멕시코에서 먼저 사용 가능하다. 구글은 AI와 머신러닝 기술의 발전으로 번역 품질과 속도를 크게 개선했다고 밝혔다새로운 언어 연습 기능은 사용자의 일일 진행 상황을 추적하며, 듣기 연습에서는 대화 속 단어를 선택해 이해도를 높이고, 말하기 연습에서는 발음을 연습할 수 있다. 이는 듀오링고의 게임화된 학습 방식과 유사하지만, 구글은 AI를 활용해 개인화된 학습 경험을 강조한다. 구글은 이 기능이 기존 학습 도구와 함께 사용되도록 설계되었다고 전하며, 독립적인 학습 앱보다는 보완적인 도구로 포지셔닝했다구글은 또한 ‘작은 레슨(Tiny Lesson)’, ‘슬랭 행(Slang Hang)’, ‘워드 캠(Word Cam)’ 같은 실험적 AI 도구를 통해 언어 학습을 더욱 동적이고 개인화된 경험으로 만들고 있다. 예를 들어, ‘작은 레슨’은 특정 상황에 필요한 어휘와 문법을 제공하고, ‘슬랭 행’은 현지 slang과 대화를 학습할 수 있게 한다. ‘워드 캠’은 사진 속 사물을 인식해 해당 언어로 단어를 제시한다. 이 도구들은 현재 아랍어, 중국어, 영어, 프랑스어 등 여러 언어를 지원하며, 구글 랩에서 체험할 수 있다구글의 이번 업데이트는 약 1조 단어에 달하는 번역 데이터를 처리하며 언어 장벽을 낮추는 데 기여할 것으로 기대된다. 그러나 구글은 이 기능들이 실험 단계에 있으며, 일부 slang이나 단어 생성에서 오류가 발생할 수 있다고 경고했다. 따라서 사용자는 결과를 다른 신뢰할 수 있는 출처와 교차 검증해야 한다. 구글은 앞으로 더 많은 언어와 국가로 기능을 확장하고, 언어 학습 파트너와 협력해 콘텐츠를 강화할 계획이다.
147
0
2025.08.27
회원가입
아이디/비밀번호 찾기