Անվտանգության փորձագետ Բար Լանյադոն վերջերս կատարել է մի քանի հետազոտություն այն մասին, թե ինչպես են գեներացնող AI մոդելները ակամա նպաստում ծրագրային ապահովման զարգացման աշխարհում անվտանգության հսկայական պոտենցիալ սպառնալիքներին: Lanyado-ի նման հետազոտությունը տագնապալի միտում է հայտնաբերել. AI-ն առաջարկում է երևակայական ծրագրերի փաթեթներ, և մշակողները, նույնիսկ տեղյակ չլինելով, ներառում են այն իրենց կոդերի բազայում:
Բացահայտված հարցը
Այժմ խնդիրն այն է, որ ստեղծված լուծումը մտացածին անուն էր՝ AI-ին բնորոշ մի բան: Այնուամենայնիվ, այս հորինված փաթեթների անուններն այնուհետև վստահորեն առաջարկվում են ծրագրավորողներին, ովքեր դժվարանում են ծրագրավորել AI մոդելներով: Իրոք, որոշ հորինված փաթեթների անուններ մասամբ հիմնված են մարդկանց վրա, օրինակ՝ Lanyado-ն, և ոմանք առաջ են գնացել և դրանք վերածել իրական փաթեթների: Սա, իր հերթին, հանգեցրել է պոտենցիալ վնասակար կոդի պատահական ընդգրկմանը իրական և օրինական ծրագրային նախագծերում:
Այս ազդեցության տակ ընկած բիզնեսներից մեկը Alibaba-ն է՝ տեխնոլոգիական արդյունաբերության խոշոր խաղացողներից մեկը: GraphTranslator-ի իրենց տեղադրման հրահանգներում Լանյադոն պարզել է, որ Alibaba-ն ներառել է «huggingface-cli» կոչվող փաթեթը, որը կեղծվել է: Փաստորեն, կար նույն անունով իրական փաթեթ, որը տեղակայված էր Python Package Index-ում (PyPI), սակայն Alibaba-ի ուղեցույցը վերաբերում էր նրան, որը պատրաստել էր Lanyado-ն:
Համառության փորձարկում
Lanyado-ի հետազոտությունը նպատակ ուներ գնահատել այս AI-ի կողմից ստեղծված փաթեթների անունների երկարակեցությունը և պոտենցիալ օգտագործումը: Այս առումով, LQuery-ն իրականացրել է AI-ի հստակ մոդելներ ծրագրավորման մարտահրավերների և լեզուների միջև հասկանալու գործընթացում, եթե արդյունավետորեն, համակարգված կերպով, այդ ֆիկտիվ անունները առաջարկվեն: Այս փորձարկումից պարզ է դառնում, որ վտանգ կա, որ վնասակար սուբյեկտները կարող են չարաշահել AI-ի կողմից ստեղծված փաթեթների անունները վնասակար ծրագրերի բաշխման համար:
Այս արդյունքները խորը հետևանքներ ունեն: Վատ դերակատարները կարող են օգտագործել ստացված առաջարկություններին ծրագրավորողների կողմից դրված կույր վստահությունը այնպես, որ նրանք կարող են սկսել կեղծ ինքնության տակ վնասակար փաթեթներ հրապարակել: Արհեստական ինտելեկտի մոդելների դեպքում վտանգը մեծանում է, երբ AI-ի հետևողական առաջարկություններ են արվում հորինված փաթեթների անունների համար, որոնք կներառվեն որպես չարամիտ ծրագրեր անտեղյակ մշակողների կողմից: **Առաջ ճանապարհը**
Հետևաբար, քանի որ AI-ն ավելի է ինտեգրվում ծրագրային ապահովման մշակմանը, խոցելիությունները շտկելու անհրաժեշտություն կարող է առաջանալ, եթե կապված լինի AI-ի կողմից ստեղծված առաջարկությունների հետ: Նման դեպքերում պետք է կիրառվի պատշաճ ջանասիրություն, որպեսզի ինտեգրման համար առաջարկվող ծրագրային փաթեթները օրինական լինեն: Ավելին, այն պետք է լինի տեղում, որպեսզի ծրագրային ապահովման պահեստը հյուրընկալող հարթակը ստուգի և բավականաչափ ուժեղ լինի, որ չարամիտ որակի կոդ չտարածվի:
Արհեստական ինտելեկտի և ծրագրային ապահովման մշակման խաչմերուկը բացահայտեց անվտանգության մտահոգիչ սպառնալիք: Բացի այդ, AI մոդելը կարող է հանգեցնել կեղծ ծրագրային փաթեթների պատահական առաջարկության, ինչը մեծ վտանգ է ներկայացնում ծրագրային նախագծերի ամբողջականության համար: Այն փաստը, որ իր ցուցումներում Alibaba-ն ներառել է տուփ, որը երբեք չպետք է լիներ այնտեղ, այլ հաստատուն ապացույց է այն բանի, թե ինչպես կարող են իրականում առաջանալ, երբ մարդիկ ռոբոտի միջոցով հետևեն առաջարկություններին:
տրված AI-ի կողմից: Ապագայում պետք է զգոնություն ցուցաբերվի պրոակտիվ միջոցների նկատմամբ, որպեսզի ծրագրային ապահովման մշակման համար AI-ի չարաշահումից պաշտպանված լինի:
Աղբյուր՝ https://www.cryptopolitan.com/ai-generated-software-packages-threats/