✨ Principais destaques:
- Nova ameaça digital: vírus chamado CopyPasta License Attack consegue se infiltrar em ferramentas de programação com IA.
- Coinbase na mira: empresa revelou que quase todos os seus engenheiros já usam a ferramenta vulnerável.
- Debate acalorado: CEO da Coinbase defende uso massivo de IA, mas especialistas alertam para riscos graves de segurança.
Um vírus escondido em arquivos comuns
A empresa de cibersegurança HiddenLayer revelou uma vulnerabilidade preocupante em ferramentas de programação baseadas em inteligência artificial.
O ataque, batizado de CopyPasta License Attack, consegue inserir instruções maliciosas em arquivos aparentemente inofensivos, como LICENSE.txt e README.md.
Esses arquivos, comuns em praticamente qualquer repositório de código, podem carregar comandos ocultos em comentários de markdown.
O detalhe assustador é que esses comandos não aparecem para o usuário final, mas são interpretados pela IA como instruções legítimas.
Na prática, isso significa que um desenvolvedor pode, sem perceber, espalhar código malicioso por todo um projeto e até por uma organização inteira.
Coinbase e o uso massivo de IA no desenvolvimento
O caso ganhou ainda mais repercussão porque a Coinbase, uma das maiores exchanges de criptomoedas do mundo, confirmou que sua equipe de engenharia adotou em peso a ferramenta Cursor, justamente uma das mais vulneráveis ao ataque.
Segundo a própria empresa, desde fevereiro todos os engenheiros já utilizavam o Cursor, e em agosto ele foi declarado como a ferramenta preferida da equipe.
Outras soluções de IA para programação, como Windsurf, Kiro e Aider, também foram apontadas como suscetíveis ao mesmo tipo de ataque.
O problema é que, ao mesmo tempo em que a Coinbase aposta fortemente na automação com IA, especialistas em segurança vêm alertando que esse entusiasmo pode custar caro.
O debate: inovação ou imprudência?
O CEO da Coinbase, Brian Armstrong, afirmou recentemente que 40% do código da empresa já é escrito por IA, e que a meta é chegar a 50% em breve. A declaração gerou críticas imediatas.
Para Larry Lyu, fundador da DEX Dango, essa estratégia é um “enorme sinal de alerta” para qualquer negócio que lide com dados sensíveis.
Já o professor Jonathan Aldrich, da Carnegie Mellon University, classificou a decisão como “insana”, reforçando que impor o uso de IA em níveis tão altos pode comprometer a confiança dos usuários.
Armstrong, por sua vez, defende que o código gerado por IA passa por revisão e que o uso é mais intenso em áreas de menor risco, como interfaces e backends de dados menos sensíveis.
Ainda assim, admitiu ter demitido engenheiros que se recusaram a adotar as ferramentas de IA, em uma medida que ele mesmo descreveu como “pesada”.
O que está em jogo
O episódio expõe um dilema central da era da inteligência artificial: até que ponto podemos confiar em sistemas que aceleram o desenvolvimento, mas também abrem novas portas para ataques invisíveis?
Se por um lado a IA promete eficiência e inovação, por outro, a descoberta da HiddenLayer mostra que até mesmo arquivos simples podem se tornar armas digitais.
Para empresas que lidam com bilhões em ativos, como a Coinbase, a linha entre avanço tecnológico e risco catastrófico nunca foi tão tênue.
