Новая угроза кибербезопасности: «нечестное использование» искусственного интеллекта с генеративным кодом

Эксперты по кибербезопасности выявили новую тревожную угрозу для цепочки поставок программного обеспечения, получившую название « слопсквоттинг», которая возникает из-за все более широкого использования инструментов искусственного интеллекта (ИИ) для генерации кода. Этот риск материализуется, когда ИИ «галлюцинирует» или изобретает программные компоненты, которых на самом деле не существует.

Это явление возникает, когда генерирующий код ИИ в ответ на запрос разработчика предлагает программные пакеты или библиотеки с правдоподобными названиями, но которые на самом деле не являются частью какого-либо законного репозитория.

Исследователи из США обнаружили, что почти пятая часть пакетов программного обеспечения, рекомендуемых некоторыми инструментами ИИ, были полностью сфабрикованы.

Такая ситуация создает возможности для злоумышленников. Хакеры могут обнаружить эти «неудачные» предложения пакетов и создать поддельные версии с точными именами, внедрить в них вредоносный код и опубликовать их в репозиториях программного обеспечения.

Ничего не подозревающий разработчик, полагаясь на подсказку ИИ (особенно если имя похоже на легитимное или встречается неоднократно), может непреднамеренно загрузить и интегрировать этот вредоносный пакет в свой собственный проект, поставив под угрозу безопасность конечного программного обеспечения и потенциально подвергнув пользователей риску.

Хотя в репозиториях пока не обнаружено ни одного активного экземпляра этих вредоносных пакетов, исследование подчеркивает исключительную важность тщательной проверки и сканирования разработчиками всех предлагаемых ИИ программных компонентов перед их использованием, избегая слепого доверия автоматически сгенерированному коду. Этот риск обостряет дискуссии о роли ИИ в различных областях: от медицинского до маркетингового или рекламного применения.

Подпишитесь на наш профиль X La Verdad Noticias и будьте в курсе самых важных новостей дня.