Saugumo ekspertas Baras Lanyado neseniai atliko keletą tyrimų, kaip generatyvūs AI modeliai netyčia prisideda prie didžiulių galimų saugumo grėsmių programinės įrangos kūrimo pasaulyje. Toks Lanyado tyrimas atskleidė nerimą keliančią tendenciją: AI siūlo įsivaizduojamos programinės įrangos paketus, o kūrėjai, net nežinodami, įtraukia juos į savo kodų bazes.
Problema atskleista
Dabar problema ta, kad sukurtas sprendimas buvo išgalvotas pavadinimas – kažkas būdingo AI. Tačiau šie fiktyvūs paketų pavadinimai drąsiai siūlomi kūrėjams, kuriems sunku programuoti naudojant AI modelius. Iš tiesų, kai kurie sugalvoti paketų pavadinimai iš dalies buvo pagrįsti žmonėmis, pavyzdžiui, Lanyado, o kai kurie pavertė juos tikrais paketais. Dėl to į tikrus ir teisėtus programinės įrangos projektus atsitiktinai buvo įtrauktas potencialiai kenksmingas kodas.
Viena iš verslų, patyrusių šį poveikį, buvo „Alibaba“, viena iš pagrindinių technologijų pramonės žaidėjų. Savo „GraphTranslator“ diegimo instrukcijose Lanyado nustatė, kad „Alibaba“ įtraukė paketą, pavadintą „huggingface-cli“, kuris buvo suklastotas. Tiesą sakant, „Python Package Index“ (PyPI) buvo tikras paketas tuo pačiu pavadinimu, tačiau „Alibaba“ vadovas nurodė tą, kurį sukūrė Lanyado.
Patvarumo išbandymas
Lanyado tyrimais buvo siekiama įvertinti šių dirbtinio intelekto sugeneruotų paketų pavadinimų ilgaamžiškumą ir galimą panaudojimą. Šia prasme „LQuery“ įgyvendino skirtingus AI modelius apie programavimo iššūkius ir tarp kalbų, kad suprastų, ar veiksmingai ir sistemingai buvo rekomenduojami tie išgalvoti pavadinimai. Šiame eksperimente aišku, kad yra rizika, kad kenksmingi subjektai gali piktnaudžiauti AI sukurtais paketų pavadinimais, platindami kenkėjišką programinę įrangą.
Šie rezultatai turi gilų poveikį. Blogi veikėjai gali išnaudoti aklą kūrėjų pasitikėjimą gautomis rekomendacijomis taip, kad gali pradėti skelbti žalingus paketus netikromis tapatybėmis. Naudojant AI modelius, rizika didėja, nes pateikiamos nuoseklios AI rekomendacijos dėl sugalvotų paketų pavadinimų, kuriuos nežinantys kūrėjai įtrauks kaip kenkėjiškas programas. **Kelias pirmyn**
Todėl, kai dirbtinis intelektas vis labiau integruojamas į programinės įrangos kūrimą, gali kilti poreikis taisyti pažeidžiamumą, jei tai susiję su AI sugeneruotomis rekomendacijomis. Tokiais atvejais reikia atlikti išsamų patikrinimą, kad integruoti siūlomi programinės įrangos paketai būtų teisėti. Be to, platforma, kurioje yra programinės įrangos saugykla, turėtų patikrinti ir būti pakankamai stipri, kad nebūtų platinamas piktavališkos kokybės kodas.
Dirbtinio intelekto ir programinės įrangos kūrimo sankirta atskleidė nerimą keliančią grėsmę saugumui. Be to, dirbtinio intelekto modelis gali paskatinti atsitiktinai rekomenduoti netikrus programinės įrangos paketus, o tai kelia didelę riziką programinės įrangos projektų vientisumui. Tai, kad Alibaba į savo nurodymus įtraukė dėžutę, kurios ten niekada neturėjo būti, yra tik įrodymas, kaip iš tikrųjų gali atsirasti galimybių, kai žmonės robotiškai laikysis rekomendacijų.
davė AI. Ateityje reikės imtis iniciatyvių priemonių, kad būtų išvengta piktnaudžiavimo AI programinės įrangos kūrimui.
Šaltinis: https://www.cryptopolitan.com/ai-generated-software-packages-threats/