Pakar keselamatan Bar Lanyado telah melakukan beberapa penyelidikan baru-baru ini tentang cara model AI generatif menyumbang secara tidak sengaja terhadap potensi ancaman keselamatan yang besar dalam dunia pembangunan perisian. Penyelidikan sedemikian oleh Lanyado mendapati trend yang membimbangkan: AI mencadangkan pakej perisian khayalan, dan pembangun, tanpa disedari, memasukkannya dalam pangkalan kod mereka.
Isu Terbongkar
Sekarang, masalahnya ialah penyelesaian yang dihasilkan adalah nama rekaan—sesuatu yang tipikal AI. Walau bagaimanapun, nama pakej rekaan ini kemudiannya dengan yakin dicadangkan kepada pembangun yang mengalami kesukaran pengaturcaraan dengan model AI. Malah, beberapa nama pakej ciptaan sebahagiannya berdasarkan orang—seperti Lanyado—dan ada yang meneruskan dan mengubahnya menjadi pakej sebenar. Ini telah, seterusnya, membawa kepada kemasukan kod yang berpotensi berniat jahat secara tidak sengaja dalam projek perisian yang sebenar dan sah.
Salah satu perniagaan yang jatuh di bawah impak ini ialah Alibaba, salah satu pemain utama dalam industri teknologi. Dalam arahan pemasangan mereka untuk GraphTranslator, Lanyado mendapati bahawa Alibaba telah memasukkan pakej yang dipanggil "huggingface-cli" yang telah dipalsukan. Malah, terdapat pakej sebenar dengan nama yang sama dihoskan pada Indeks Pakej Python (PyPI), tetapi panduan Alibaba merujuk kepada yang Lanyado telah buat.
Menguji kegigihan
Penyelidikan Lanyado bertujuan untuk menilai jangka hayat dan potensi eksploitasi nama pakej yang dijana AI ini. Dalam pengertian ini, LQuery menjalankan model AI yang berbeza tentang cabaran pengaturcaraan dan antara bahasa dalam proses pemahaman jika, secara berkesan, dengan cara yang sistematik, nama rekaan tersebut disyorkan. Jelas dalam eksperimen ini bahawa terdapat risiko bahawa entiti berbahaya boleh menyalahgunakan nama pakej yang dijana AI untuk pengedaran perisian hasad.
Keputusan ini mempunyai implikasi yang mendalam. Pelakon jahat mungkin mengeksploitasi kepercayaan buta yang diberikan oleh pembangun dalam pengesyoran yang diterima sedemikian rupa sehingga mereka boleh mula menerbitkan pakej berbahaya di bawah identiti palsu. Dengan model AI, risiko meningkat dengan pengesyoran AI yang konsisten dibuat untuk nama pakej ciptaan, yang akan dimasukkan sebagai perisian hasad oleh pembangun yang tidak sedar. **Jalan kehadapan**
Oleh itu, apabila AI semakin disepadukan dengan pembangunan perisian, keperluan untuk membetulkan kelemahan mungkin timbul jika disambungkan dengan pengesyoran yang dijana AI. Dalam kes sedemikian, usaha wajar mesti diamalkan supaya pakej perisian yang dicadangkan untuk penyepaduan adalah sah. Tambahan pula, ia harus disediakan untuk platform yang mengehos repositori perisian untuk mengesahkan dan cukup kuat sehingga tiada kod kualiti jahat harus diedarkan.
Persimpangan kecerdasan buatan dan pembangunan perisian telah mendedahkan ancaman keselamatan yang membimbangkan. Selain itu, model AI boleh membawa kepada pengesyoran tidak sengaja pakej perisian palsu, yang menimbulkan risiko besar kepada integriti projek perisian. Hakikat bahawa dalam arahannya, Alibaba menyertakan kotak yang tidak sepatutnya ada di sana, tetapi bukti yang kukuh tentang bagaimana kemungkinan sebenarnya boleh berlaku apabila orang mengikuti cadangan secara robotik.
diberikan oleh AI. Pada masa hadapan, kewaspadaan perlu diambil dalam langkah-langkah proaktif supaya penyalahgunaan AI untuk pembangunan perisian terpelihara.
Sumber: https://www.cryptopolitan.com/ai-generated-software-packages-threats/