La vulnérabilité de l'outil de codage AI de Coinbase pose un risque de sécurité significatif.

Une faille de sécurité trouvée dans l'outil Cursor largement utilisé chez Coinbase

Une vulnérabilité de sécurité critique a été identifiée dans Cursor, un assistant de codage IA largement utilisé par l'équipe de développement de Coinbase. Selon le rapport récent de la société de cybersécurité HiddenLayer, l'outil contient un défaut sérieux qui pourrait potentiellement être exploité pour implanter un code malveillant à travers les systèmes de l'organisation.

Le rapport de sécurité, publié jeudi, révèle que l'éditeur de code de Cursor est vulnérable à une exploitation sophistiquée appelée "CopyPasta License Attack." Bien qu'elle semble inoffensive en surface, cette méthode peut efficacement intégrer des instructions malveillantes dans les fichiers développeurs standard utilisés dans l'ensemble de la base de code d'une organisation.

Détails techniques de la vulnérabilité CopyPasta

Cursor améliore la productivité des développeurs grâce à l'autocomplétion intelligente, aux suggestions de code automatisées et aux capacités de détection d'erreurs en temps réel. Cependant, les chercheurs de HiddenLayer ont découvert que dans le mode Auto-Run—où le logiciel exécute automatiquement des commandes—une faille de sécurité critique existe, permettant à des instructions non sécurisées de s'exécuter sans nécessiter l'approbation de l'utilisateur.

L'attaque CopyPasta cible spécifiquement les invites système au sein de Cursor qui gèrent la conformité des licences logicielles. L'exploit se déguise en texte de licence légitime tel que les accords GPL et se fait passer pour un fichier README en markdown. L'analyse technique montre que l'attaque utilise des commentaires cachés dans les fichiers markdown et des entrées de syntaxe spécialisées pour faire apparaître des instructions malveillantes comme des commandes de développeur autorisées.

« Lorsqu'il est combiné avec des instructions malveillantes, l'attaque CopyPasta est capable de se répliquer simultanément de manière obfusquée dans de nouveaux dépôts et d'introduire des vulnérabilités délibérées dans des bases de code qui seraient autrement sécurisées », a déclaré HiddenLayer dans sa divulgation.

Lors de tests contrôlés, les chercheurs ont implémenté une charge utile inoffensive qui insérait une seule ligne de code au début des fichiers Python. Cependant, l'équipe de sécurité a averti que cette même technique pourrait être exploitée lors d'incidents de sécurité à des fins plus dommageables, y compris la création de points d'accès clandestins, l'extraction de données sensibles, la consommation de ressources système ou la corruption des environnements de production.

L'équipe de recherche a comparé cette vulnérabilité au concept d'attaque "Morris II", qui a démontré comment les systèmes de messagerie pouvaient être manipulés pour divulguer des données tout en se répliquant eux-mêmes. Bien que Morris II ait des taux de succès théoriques élevés, son impact pratique était limité car les systèmes de messagerie nécessitaient généralement une vérification humaine avant la transmission des messages.

HiddenLayer a également noté que d'autres outils de codage AI—y compris Windsurf, Kiro et Aider—propagent l'exploitation CopyPasta vers de nouveaux fichiers de manière à échapper aux méthodes de détection standard. La vulnérabilité a été signalée indépendamment par HiddenLayer et le groupe de recherche en sécurité BackSlash.

Le taux d'adoption élevé de Coinbase soulève des inquiétudes en matière de sécurité

La divulgation de sécurité intervient à un moment particulièrement préoccupant, alors que Coinbase a rapidement augmenté sa dépendance aux outils de codage AI. Le PDG de Coinbase, Brian Armstrong, a récemment révélé que l'équipe d'ingénierie de la bourse a adopté Cursor comme principal outil de développement, avec des plans exigeant que "chaque ingénieur de Coinbase" l'utilise d'ici février 2026.

Dans une conversation de podcast avec le co-fondateur de Stripe, John Collison, fin août, Armstrong a décrit son approche directe pour imposer l'adoption d'outils d'IA. Il a déclaré : "Je suis devenu rebelle et j'ai posté dans le canal Slack all-in. L'IA est importante. Nous avons besoin que vous tous l'appreniez et que vous vous intégriez au moins. Vous n'êtes pas obligés de l'utiliser tous les jours tant que nous n'avons pas fait de formation, mais au moins intégrez-vous d'ici la fin de la semaine. Sinon, j'organise une réunion samedi avec tout le monde qui ne l'a pas fait, et j'aimerais vous rencontrer pour comprendre pourquoi."

Plus tôt cette semaine, Armstrong a partagé sur les réseaux sociaux que l'IA était responsable de la génération d'environ 40 % du code de l'entreprise, avec des attentes pour que ce chiffre atteigne 50 % d'ici octobre.

~40% du code quotidien écrit chez Coinbase est généré par l'IA. Je veux atteindre >50% d'ici octobre.

Il est évident qu'il doit être examiné et compris, et que toutes les zones de l'entreprise ne peuvent pas utiliser du code généré par l'IA. Mais nous devrions l'utiliser de manière responsable autant que possible.

— Brian Armstrong (@brian_armstrong) 3 septembre 2025

L'adoption rapide d'outils d'IA potentiellement vulnérables présente des implications de sécurité significatives pour les échanges d'actifs numériques, où la sécurité du code impacte directement les fonds des clients et l'intégrité de la plateforme. Les risques techniques identifiés par HiddenLayer soulignent l'importance d'un audit de sécurité approfondi pour les assistants de codage IA, en particulier lorsqu'ils sont mis en œuvre à grande échelle au sein d'organisations de technologie financière gérant des actifs numériques substantiels.