Kerentanan Alat Koding AI Coinbase Menyebabkan Risiko Keamanan yang Signifikan

Kerentanan Keamanan Ditemukan di Alat Kursor yang Banyak Digunakan di Coinbase

Sebuah kerentanan keamanan yang kritis telah diidentifikasi di Cursor, asisten pengkodean AI yang banyak digunakan oleh tim pengembangan Coinbase. Menurut laporan terbaru dari perusahaan keamanan siber HiddenLayer, alat tersebut mengandung cacat serius yang dapat dieksploitasi untuk menyisipkan kode jahat di seluruh sistem organisasi.

Laporan keamanan, yang diterbitkan pada hari Kamis, mengungkapkan bahwa editor kode Cursor rentan terhadap eksploitasi canggih yang disebut "CopyPasta License Attack." Meskipun terlihat tidak berbahaya di permukaan, metode ini dapat secara efektif menyematkan instruksi berbahaya ke dalam file pengembang standar yang digunakan di seluruh basis kode organisasi.

Rincian Teknis dari Kerentanan CopyPasta

Cursor meningkatkan produktivitas pengembang melalui autocompletion cerdas, saran kode otomatis, dan kemampuan deteksi kesalahan secara real-time. Namun, para peneliti HiddenLayer menemukan bahwa dalam mode Auto-Run—di mana perangkat lunak mengeksekusi perintah secara otomatis—terdapat celah keamanan kritis yang memungkinkan instruksi yang tidak aman untuk dijalankan tanpa memerlukan persetujuan pengguna.

Serangan CopyPasta secara khusus menargetkan prompt sistem dalam Cursor yang menangani kepatuhan lisensi perangkat lunak. Eksploitasi ini menyamar sebagai teks lisensi yang sah seperti perjanjian GPL dan menyamar sebagai file markdown README. Analisis teknis menunjukkan bahwa serangan ini memanfaatkan komentar tersembunyi dalam file markdown dan input sintaks khusus untuk membuat instruksi berbahaya tampak sebagai perintah pengembang yang sah.

"Ketika digabungkan dengan instruksi jahat, serangan CopyPasta dapat secara bersamaan mereplikasi dirinya sendiri dengan cara yang disembunyikan ke repositori baru dan memperkenalkan kerentanan yang disengaja ke dalam basis kode yang seharusnya aman," kata HiddenLayer dalam pengungkapannya.

Selama pengujian yang terkontrol, peneliti menerapkan payload yang tidak berbahaya yang menyisipkan satu baris kode di awal file Python. Namun, tim keamanan memperingatkan bahwa teknik yang sama ini bisa dimanfaatkan selama insiden keamanan untuk tujuan yang lebih merusak—termasuk menciptakan titik akses pintu belakang, mengekstrak data sensitif, mengonsumsi sumber daya sistem, atau merusak lingkungan produksi.

Tim peneliti membandingkan kerentanan ini dengan konsep serangan "Morris II", yang menunjukkan bagaimana sistem email dapat dimanipulasi untuk membocorkan data sambil melakukan replikasi diri. Meskipun Morris II memiliki tingkat keberhasilan teoritis yang tinggi, dampak praktisnya terbatas karena sistem email biasanya memerlukan verifikasi manusia sebelum pengiriman pesan.

HiddenLayer juga mencatat bahwa alat pengkodean AI lainnya—termasuk Windsurf, Kiro, dan Aider—menyebarkan eksploitasi CopyPasta ke file baru dengan cara yang menghindari metode deteksi standar. Kerentanan ini dilaporkan secara independen oleh HiddenLayer dan kelompok riset keamanan BackSlash.

Tingginya Tingkat Adopsi di Coinbase Meningkatkan Kekhawatiran Keamanan

Pengungkapan keamanan ini datang pada waktu yang sangat mengkhawatirkan, karena Coinbase telah dengan cepat meningkatkan ketergantungannya pada alat pengkodean AI. CEO Coinbase, Brian Armstrong, baru-baru ini mengungkapkan bahwa tim teknik pertukaran tersebut telah mengadopsi Cursor sebagai alat pengembangan utama, dengan rencana yang mengharuskan "setiap insinyur Coinbase" untuk menggunakannya pada Februari 2026.

Dalam percakapan podcast dengan salah satu pendiri Stripe, John Collison, pada akhir Agustus, Armstrong menjelaskan pendekatannya yang langsung untuk mewajibkan adopsi alat AI. Dia menyatakan: "Saya pergi sendiri dan memposting di saluran Slack all-in. AI itu penting. Kami perlu kalian semua mempelajarinya dan setidaknya mendaftar. Kalian tidak perlu menggunakannya setiap hari sampai kami melakukan beberapa pelatihan, tetapi setidaknya mendaftar pada akhir minggu. Jika tidak, saya akan mengadakan pertemuan pada hari Sabtu dengan semua orang yang belum melakukannya, dan saya ingin bertemu dengan kalian untuk memahami mengapa."

Awal minggu ini, Armstrong berbagi di media sosial bahwa AI bertanggung jawab untuk menghasilkan sekitar 40% dari kode perusahaan, dengan harapan angka tersebut akan mencapai 50% pada bulan Oktober.

~40% dari kode harian yang ditulis di Coinbase dihasilkan oleh AI. Saya ingin meningkatkannya menjadi >50% pada bulan Oktober.

Jelas bahwa ini perlu ditinjau dan dipahami, dan tidak semua bidang bisnis dapat menggunakan kode yang dihasilkan oleh AI. Tetapi kita harus menggunakannya secara bertanggung jawab sebanyak mungkin.

— Brian Armstrong (@brian_armstrong) 3 September 2025

Adopsi cepat alat AI yang berpotensi rentan menghadirkan implikasi keamanan yang signifikan bagi bursa aset digital, di mana keamanan kode berdampak langsung pada dana pelanggan dan integritas platform. Risiko teknis yang diidentifikasi oleh HiddenLayer menyoroti pentingnya audit keamanan yang menyeluruh untuk asisten pengkodean AI, terutama ketika diterapkan secara besar-besaran dalam organisasi teknologi finansial yang menangani aset digital yang substansial.