Turvaekspert Bar Lanyado on hiljuti uurinud, kuidas generatiivsed AI mudelid aitavad tahtmatult kaasa tohututele potentsiaalsetele turvaohtudele tarkvaraarenduse maailmas. Sellised Lanyado uuringud leidsid murettekitava suundumuse: AI soovitab väljamõeldud tarkvarapakette ja arendajad lisavad selle oma koodibaasidesse, isegi teadmata.
Teema avalikustati
Nüüd on probleem selles, et loodud lahendus oli väljamõeldud nimi - midagi tüüpilist AI-le. Neid fiktiivseid paketinimesid soovitatakse seejärel julgelt arendajatele, kellel on AI mudelitega programmeerimisega raskusi. Tõepoolest, mõned väljamõeldud paketinimed on osaliselt põhinenud inimestel (nt Lanyado) ja mõned muutsid need tõelisteks pakettideks. See on omakorda viinud potentsiaalselt pahatahtliku koodi juhusliku kaasamiseni tõelistesse ja seaduslikesse tarkvaraprojektidesse.
Üks ettevõtteid, mis selle mõju alla jäi, oli Alibaba, üks tehnoloogiatööstuse peamisi tegijaid. Lanyado leidis GraphTranslatori installijuhistes, et Alibaba oli kaasanud paketi nimega huggingface-cli, mis oli võltsitud. Tegelikult oli Python Package Indexis (PyPI) majutatud tõeline samanimeline pakett, kuid Alibaba juhend viitas sellele, mille Lanyado oli teinud.
Püsivuse testimine
Lanyado uurimistöö eesmärk oli hinnata nende tehisintellekti loodud paketinimede pikaealisust ja potentsiaalset kasutamist. Selles mõttes viis LQuery läbi erinevad AI mudelid programmeerimisprobleemide ja keelte vahel, et mõista, kas neid fiktiivseid nimesid soovitatakse tõhusalt ja süstemaatiliselt. Selles katses on selge, et on oht, et kahjulikud üksused võivad kuritarvitada AI-ga loodud paketinimesid pahatahtliku tarkvara levitamiseks.
Nendel tulemustel on sügav mõju. Halvad tegijad võivad ära kasutada arendajate pimedat usaldust saadud soovituste vastu nii, et nad võivad hakata valeidentiteetide all avaldama kahjulikke pakette. Tehisintellekti mudelite puhul suureneb risk koos järjekindlate AI-soovitustega väljamõeldud paketinimede kohta, mida teadmata arendajad lisaksid pahavarana. **Tee edasi**
Seega, kui tehisintellekt muutub tarkvara arendusega veelgi integreerituks, võib tekkida vajadus haavatavused parandada, kui see on seotud tehisintellekti loodud soovitustega. Sellistel juhtudel tuleb järgida hoolsuskohustust, et integreerimiseks soovitatud tarkvarapaketid oleksid õigustatud. Lisaks peaks see olema paigas, et tarkvarahoidlat majutav platvorm saaks kontrollida ja olema piisavalt tugev, et pahatahtliku kvaliteediga koodi ei levitataks.
Tehisintellekti ja tarkvaraarenduse ristumiskoht on paljastanud murettekitava turvaohu. Samuti võib AI-mudel kaasa tuua võltsitud tarkvarapakettide kogemata soovitamise, mis kujutab endast suurt ohtu tarkvaraprojektide terviklikkusele. Asjaolu, et Alibaba lisas oma juhistesse kasti, mida poleks tohtinud seal kunagi olla, on vaid tõend selle kohta, kuidas võimalused võivad tegelikult tekkida, kui inimesed järgivad robotiliselt soovitusi.
antud AI poolt. Tulevikus tuleb ennetavate meetmete osas olla valvsad, et vältida AI väärkasutamist tarkvara arendamiseks.
Allikas: https://www.cryptopolitan.com/ai-generated-software-packages-threats/