Varnostni strokovnjak Bar Lanyado je nedavno izvedel nekaj raziskav o tem, kako generativni modeli umetne inteligence nehote prispevajo k ogromnim potencialnim varnostnim grožnjam v svetu razvoja programske opreme. Takšna raziskava Lanyada je odkrila zaskrbljujoč trend: umetna inteligenca predlaga pakete namišljene programske opreme, razvijalci pa jo vključijo v svoje kodne baze, ne da bi se sploh zavedali.
Težava je razkrita
Težava je v tem, da je bila ustvarjena rešitev izmišljeno ime - nekaj značilnega za AI. Vendar se ta izmišljena imena paketov nato samozavestno predlagajo razvijalcem, ki imajo težave pri programiranju z modeli AI. Dejansko so nekatera izmišljena imena paketov delno temeljila na ljudeh, kot je Lanyado, nekateri pa so jih spremenili v prave pakete. To pa je privedlo do nenamerne vključitve potencialno zlonamerne kode v prave in zakonite programe programske opreme.
Eno od podjetij, ki je padlo pod ta vpliv, je Alibaba, eden glavnih igralcev v tehnološki industriji. Lanyado je v svojih navodilih za namestitev za GraphTranslator ugotovil, da je Alibaba vključila paket, imenovan »huggingface-cli«, ki je bil ponarejen. Pravzaprav je obstajal pravi paket z istim imenom, ki je gostoval na indeksu paketov Python (PyPI), vendar se je Alibabin vodnik skliceval na tistega, ki ga je naredil Lanyado.
Testiranje obstojnosti
Cilj Lanyadove raziskave je bil oceniti dolgo življenjsko dobo in potencialno izkoriščanje teh imen paketov, ki jih ustvari umetna inteligenca. V tem smislu je LQuery izvedel različne modele umetne inteligence o programskih izzivih in med jeziki v procesu razumevanja, če so bila dejansko, na sistematičen način priporočena ta izmišljena imena. V tem poskusu je jasno, da obstaja tveganje, da bi lahko škodljivi subjekti zlorabili imena paketov, ustvarjena z umetno inteligenco, za distribucijo zlonamerne programske opreme.
Ti rezultati imajo globoke posledice. Slabi akterji lahko izkoristijo slepo zaupanje razvijalcev v prejeta priporočila na tak način, da lahko začnejo objavljati škodljive pakete pod lažnimi identitetami. Pri modelih umetne inteligence se tveganje poveča z doslednimi priporočili umetne inteligence za izmišljena imena paketov, ki bi jih nevedni razvijalci vključili kot zlonamerno programsko opremo. **Pot naprej**
Ker se AI še bolj integrira z razvojem programske opreme, se lahko pojavi potreba po odpravi ranljivosti, če je povezana s priporočili, ki jih ustvari AI. V takšnih primerih je treba ravnati s potrebno skrbnostjo, da so programski paketi, predlagani za integracijo, zakoniti. Poleg tega bi moralo biti vzpostavljeno, da se platforma, ki gosti repozitorij programske opreme, preveri in je dovolj močna, da se ne sme distribuirati nobena koda zlonamerne kakovosti.
Presečišče umetne inteligence in razvoja programske opreme je razkrilo zaskrbljujočo varnostno grožnjo. Poleg tega lahko model umetne inteligence vodi do nenamernega priporočila lažnih programskih paketov, kar predstavlja veliko tveganje za integriteto programskih projektov. Dejstvo, da je Alibaba v svojih navodilih vključil škatlo, ki tam nikoli ne bi smela biti, je le trajen dokaz, kako se lahko dejansko pojavijo možnosti, ko ljudje robotsko sledijo priporočilom
podaril AI. V prihodnosti bo treba biti previden pri proaktivnih ukrepih, da se prepreči zloraba umetne inteligence za razvoj programske opreme.
Vir: https://www.cryptopolitan.com/ai-generated-software-packages-threats/