2026-01-08 16:35:00

Các nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng gọi là 'Vibe Coding' gây nguy hiểm nghiêm trọng cho các nhà phát triển. Dưới đây là những điều bạn cần biết: các thư mục dự án độc hại có thể thực thi lệnh ngay lập tức trên cả hệ thống Windows và macOS thông qua các IDE phổ biến. Mối đe dọa này đặc biệt nghiêm trọng đối với người dùng Cursor, mặc dù lỗ hổng này ảnh hưởng đến nhiều nền tảng lập trình AI hỗ trợ khác nhau. Điều gì khiến điều này đặc biệt đáng lo ngại? Một số nhà phát triển crypto đã trở thành nạn nhân của vector tấn công này. Nếu bạn đang làm việc trong lĩnh vực phát triển Web3, kịch bản sẽ như sau—bạn sao chép một kho lưu trữ có vẻ hợp pháp, mở nó trong IDE của bạn, và không cần hành động bổ sung, mã tùy ý sẽ chạy trên máy của bạn với quyền người dùng của bạn. Đây là một mẫu tấn công chuỗi cung ứng điển hình mà các nhóm crypto nên coi trọng. Chuỗi lỗ hổng này kết hợp kỹ thuật xã hội với khai thác kỹ thuật, khiến nó khó phát hiện hơn so với phần mềm độc hại truyền thống. Nếu bạn đang sử dụng các IDE phổ biến cho phát triển Web3, hãy xem xét lại các thực hành bảo mật của bạn ngay lập tức. Tắt các tính năng tự động thực thi khi có thể, xác minh nguồn dự án cẩn thận trước khi nhập khẩu, và xem xét chạy môi trường phát triển trong các hệ thống cách ly.

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.

12 thích

Phần thưởng
12
6
Đăng lại
Retweed

Bình luận

0/400

YieldChaser

· 01-11 02:15

Omg, this vulnerability is way too absurd, you get hacked just by cloning a repo? --- Cursor users need to check this out ASAP, this supply chain attack is insane. --- Web3 developers wake up, you can't even trust repositories anymore. --- Disabling auto-execution needs to be done immediately, or you'll get hit sooner or later. --- Social engineering + technical combo, this defense difficulty just skyrocketed. --- Why are there still so many people creating malicious repos, the crypto space is truly chaotic. --- Running development in isolated environments is a bit annoying, but way better than getting hacked. --- Crypto developers have already been hit, this needs to be taken seriously. --- I think this vulnerability will eventually be exploited at scale, gotta patch it ASAP. --- Vibe Coding sounds decent on the surface, turns out it's a huge trap.

Xem bản gốcTrả lời0

OffchainOracle

· 01-08 17:55

Thôi nhé, Cursor lần này có hơi猛 thật đấy, tự động thực thi trực tiếp sụp đổ hả? Lập trình viên Web3 lần này thực sự phải căng thẳng đấy, chỉ cần clone một repo là trúng phải, cuộc tấn công chuỗi cung ứng như vậy hơi quá đáng phê phán thật Vibe Coding? Chưa nghe bao giờ, nhưng nghe cái tên thôi cảm giác cũng không ổn rồi Trời ơi, phải vô hiệu hóa bao nhiêu chức năng tự động thế, trải nghiệm phát triển chắc phải xuống mức cực lạnh rồi Trước đây đã nói không nên tin tưởng những AI IDE này, bây giờ tốt rồi chứ Lại là chuỗi cung ứng, lại là kỹ xảo xã hội, combo đòn này ai mà chặn được nhé Trời đất ơi, đã có người trúng phải rồi sao? Thế thì dự án mà mình clone hôm trước… Nhanh mà kiểm tra cài đặt quyền truy cập, bỗng nhiên hơi sợ đấy Đây là lý do tại sao mình vẫn dùng trình soạn thảo cổ lỗ sĩ, độ an toàn max Tuyệt vời, ác mộng của lập trình viên Web3 lại đến một cái nữa

Xem bản gốcTrả lời0

GasFeeVictim

· 01-08 17:04

Chết rồi, người dùng Cursor lại gặp rắc rối? Các nhà phát triển Web3 của chúng ta thật là những kẻ xui xẻo trong thế giới số

Xem bản gốcTrả lời0

BlockchainArchaeologist

· 01-08 17:01

Trời ơi, lại là cuộc tấn công chuỗi cung ứng... Nhà phát triển Cursor cần nhanh chóng tự kiểm tra lại một lượt, lần này thật sự khá nghiêm trọng

Xem bản gốcTrả lời0

GateUser-e87b21ee

· 01-08 16:58

Ah this... another Cursor trap, that explains why so many people have had their wallets compromised recently --- Supply chain attacks are really impossible to defend against, just cloning a repo and you get pwned --- Web3 developers really have it tough, one careless mistake and you become a hacker's ATM --- Disabling auto-execute should be basic practice, feels like a lot of people haven't even done that --- This Vibe Coding wave is truly wild, reminds me of those fake open-source libraries from before --- Cursor is this unsafe now? I was still thinking about using it... --- Running dev environments in isolated systems sounds like a pain, but compared to losing coins... forget it, just do it --- To be honest, anyone in crypto needs to develop the habit of checking code sources

Xem bản gốcTrả lời0

ApeWithNoChain

· 01-08 16:45

Trời ơi, Cursor phát hiện lỗ hổng lớn thế này, tôi phải kiểm tra repo của mình ngay Chỉ cần clone một repository là bị hack, điều này cũng quá phi lý...Không có gì lạ khi mới đây nghe nói vài nhà phát triển Web3 đã trúng thủ đoạn này Vẫn phải có thói quen xác minh nguồn, nếu không thì thực sự sẽ gặp rắc rối Vibe Coding cái tên nghe khá cool, nhưng những gì nó làm thì không cool chút nào Cuộc tấn công chuỗi cung ứng theo kiểu này, các nhà phát triển Web3 thực sự phải cảnh báo cao độ

Xem bản gốcTrả lời0