Sécherheetsexpert Bar Lanyado huet viru kuerzem e puer Fuerschunge gemaach iwwer wéi generativ AI Modeller onbedéngt zu enorm potenziell Sécherheetsbedrohungen an der Softwareentwécklungswelt bäidroen. Esou Fuerschung vum Lanyado huet en alarméierenden Trend fonnt: Den AI proposéiert Packagen vun imaginärer Software, an Entwéckler, ouni sech bewosst ze sinn, enthalen et an hire Codebasen.
D'Emissioun enthüllt
Elo ass de Problem datt d'Léisung generéiert war e fiktiven Numm - eppes typesch fir AI. Wéi och ëmmer, dës fiktiv Package Nimm ginn dann zouversiichtlech un Entwéckler proposéiert déi Schwieregkeeten hunn mat AI Modeller ze programméieren. Tatsächlech sinn e puer erfonnt Package Nimm deelweis op Leit baséiert - wéi Lanyado - an e puer sinn virgaang an hunn se an echte Packagen ëmgewandelt. Dëst huet, am Tour, zu der zoufälleger Inklusioun vu potenziell béiswëlleger Code an echte a legitime Softwareprojeten gefouert.
Ee vun de Geschäfter déi ënner dësem Impakt gefall war Alibaba, ee vun de grousse Spiller an der Tech Industrie. Bannent hiren Installatiounsinstruktiounen fir GraphTranslator, huet Lanyado fonnt datt Alibaba e Package genannt "huggingface-cli" enthält dee gefälscht gouf. Tatsächlech gouf et e richtege Package mam selwechten Numm am Python Package Index (PyPI) gehost, awer dem Alibaba säi Guide bezeechent deen deen de Lanyado gemaach huet.
D'Persistenz testen
Dem Lanyado seng Fuerschung zielt d'Längegkeet an d'potenziell Ausbeutung vun dësen AI-generéierte Packagenimm ze bewäerten. An dësem Sënn huet LQuery ënnerscheet AI Modeller iwwer d'Programméierungserausfuerderungen an tëscht Sproochen am Prozess vum Verständnis duerchgefouert, ob effektiv op eng systematesch Manéier dës fiktiv Nimm recommandéiert goufen. Et ass kloer an dësem Experiment datt et e Risiko ass datt schiedlech Entitéite AI-generéiert Package Nimm fir d'Verdeelung vu béiswëlleg Software mëssbrauchen.
Dës Resultater hunn déif Implikatiounen. Schlecht Akteuren kënnen dat blannt Vertrauen auszenotzen, deen d'Entwéckler an de Empfeelunge kritt hunn, sou datt se schiedlech Packagen ënner falschen Identitéiten verëffentlechen kënnen. Mat den AI Modeller erhéicht de Risiko mat konsequenten AI Empfehlungen, déi fir erfonnt Package Nimm gemaach ginn, déi als Malware vun onbewosst Entwéckler abegraff ginn. **De Wee no vir**
Dofir, wéi AI weider integréiert gëtt mat der Softwareentwécklung, kann de Besoin fir d'Schwieregkeeten ze fixéieren, wann se mat AI generéiert Empfehlungen verbonne sinn. An esou Fäll muss due Diligence praktizéiert ginn, sou datt d'Software Packagen, déi fir d'Integratioun proposéiert ginn, legitim sinn. Ausserdeem sollt et op der Plaz sinn fir d'Plattform déi de Repository vu Software hostéiert fir z'iwwerpréiwen a staark genuch ze sinn datt kee Code vu béiswëlleger Qualitéit verdeelt soll ginn.
D'Kräizung vu kënschtlecher Intelligenz a Softwareentwécklung huet eng betreffend Sécherheetsbedrohung enthüllt. Och den AI Modell kann zu der zoufälleger Empfehlung vu gefälschte Software Packagen féieren, wat e grousse Risiko fir d'Integritéit vu Softwareprojeten ausmécht. D'Tatsaach, datt a sengen Instruktiounen Alibaba eng Këscht abegraff huet, déi ni do sollte gewiescht sinn, ass awer e stännege Beweis fir wéi d'Méiglechkeeten tatsächlech kéinte entstoen wann d'Leit robotesch Empfehlungen verfollegen
vun AI ginn. An Zukunft muss d'Vigilance a proaktiven Moossname geholl ginn, sou datt Mëssbrauch vun AI fir Softwareentwécklung geschützt ass.
Quell: https://www.cryptopolitan.com/ai-generated-software-packages-threats/