安全专家 Bar Lanyado 最近做了一些研究,研究生成式 AI 模型如何无意中对软件开发领域造成巨大的潜在安全威胁。 Lanyado 的此类研究发现了一个令人担忧的趋势:人工智能建议使用虚构的软件包,而开发人员甚至在不知情的情况下将其包含在他们的代码库中。
问题揭晓
现在的问题是,生成的解决方案是一个虚构的名称——这是人工智能的典型特征。然而,这些虚构的包名称随后会被自信地建议给那些难以使用人工智能模型进行编程的开发人员。事实上,一些发明的软件包名称部分是基于像兰亚多这样的人,而有些则继续将它们变成真正的软件包。这反过来又导致真实和合法的软件项目中意外包含潜在的恶意代码。
受到这种影响的企业之一是阿里巴巴,它是科技行业的主要参与者之一。 Lanyado 在 GraphTranslator 的安装说明中发现阿里巴巴包含了一个名为“huggingface-cli”的伪造软件包。事实上,Python 包索引(PyPI)上确实有一个同名的包,但阿里巴巴的指南提到的是 Lanyado 制作的包。
测试持久性
Lanyado 的研究旨在评估这些人工智能生成的包名称的寿命和潜在的利用。从这个意义上说,LQuery 在了解是否有效、系统地推荐这些虚构名称的过程中,针对编程挑战和语言之间建立了不同的人工智能模型。在此实验中可以清楚地看出,有害实体存在滥用人工智能生成的包名称来分发恶意软件的风险。
这些结果具有深远的意义。不良行为者可能会利用开发人员对收到的建议的盲目信任,从而开始以虚假身份发布有害软件包。使用人工智能模型,随着对发明的软件包名称提出一致的人工智能建议,风险会增加,这些名称可能会被不知情的开发人员作为恶意软件包含在内。 **前进之路**
因此,随着人工智能与软件开发的进一步结合,如果与人工智能生成的建议相结合,可能会出现修复漏洞的需要。在这种情况下,必须进行尽职调查,以确保建议集成的软件包是合法的。此外,托管软件存储库的平台应该到位,以进行验证并足够强大,以免分发恶意质量的代码。
人工智能和软件开发的交叉揭示了令人担忧的安全威胁。此外,人工智能模型可能会导致误推荐虚假软件包,这对软件项目的完整性构成很大风险。事实上,阿里巴巴在他的指示中包含了一个本不应该存在的盒子,但这足以证明当人们机器人地遵循建议时,可能性实际上是如何发生的
由AI给出。未来,必须保持警惕,采取积极主动的措施,防止人工智能被滥用于软件开发。
来源:https://www.cryptopolitan.com/ai- generated-software-packages-threats/