Nieuwe cyberbeveiligingsdreiging: 'slopsquatting' door generatieve code-AI

Cybersecurity-experts hebben een nieuwe, zorgwekkende bedreiging voor de softwaretoeleveringsketen geïdentificeerd. Deze bedreiging wordt ' slopsquatting' genoemd en komt voort uit het toenemende gebruik van hulpmiddelen voor kunstmatige intelligentie (AI) voor het genereren van code. Dit risico materialiseert zich wanneer AI ‘hallucineert’ of softwarecomponenten bedenkt die in werkelijkheid niet bestaan.
Dit fenomeen doet zich voor wanneer een AI die code genereert, op verzoek van een ontwikkelaar softwarepakketten of bibliotheken met aannemelijke namen voorstelt, maar die in werkelijkheid geen deel uitmaken van een legitieme repository.
Onderzoekers in de Verenigde Staten ontdekten dat bijna een vijfde van de softwarepakketten die door bepaalde AI-tools werden aanbevolen, volledig gefabriceerd was.
Deze situatie creëert een kans voor kwaadwillenden. Hackers kunnen deze 'duh'-pakketsuggesties detecteren en nepversies met die exacte namen creëren, er schadelijke code in verwerken en deze publiceren in softwarerepositories.
Een nietsvermoedende ontwikkelaar zou, door te vertrouwen op de suggesties van de AI (met name als de naam lijkt op een legitieme naam of herhaaldelijk voorkomt), onbedoeld dit schadelijke pakket kunnen downloaden en integreren in zijn eigen project. Hierdoor komt de veiligheid van de uiteindelijke software in gevaar en kunnen gebruikers mogelijk risico's lopen.
Hoewel er nog geen actieve exemplaren van deze schadelijke pakketten in de repositories zijn aangetroffen, onderstreept het onderzoek hoe belangrijk het is dat ontwikkelaars alle door AI voorgestelde softwarecomponenten zorgvuldig controleren en scannen voordat ze deze gebruiken. Zo voorkomen ze dat ze blind vertrouwen op automatisch gegenereerde code. Dit risico draagt bij aan de discussies over de rol van AI op verschillende gebieden, van de rol als medische aanvulling tot het gebruik ervan in marketing of het maken van advertenties.
Volg ons op ons X La Verdad Noticias- profiel en blijf op de hoogte van het belangrijkste nieuws van de dag.
La Verdad Yucatán