Eksperti i sigurisë Bar Lanyado ka bërë disa kërkime së fundmi se si modelet gjeneruese të AI kontribuojnë pa dashje drejt kërcënimeve të mëdha të mundshme të sigurisë në botën e zhvillimit të softuerit. Një hulumtim i tillë nga Lanyado gjeti një prirje alarmante: AI sugjeron paketa softuerësh imagjinarë dhe zhvilluesit, pa qenë as të vetëdijshëm, e përfshijnë atë në bazat e tyre të kodeve.
Çështja e zbuluar
Tani, problemi është se zgjidhja e krijuar ishte një emër fiktiv - diçka tipike për AI. Sidoqoftë, këta emra fiktive të paketave u sugjerohen më pas me besim zhvilluesve që kanë vështirësi në programimin me modelet e AI. Në të vërtetë, disa emra të shpikur të paketave janë bazuar pjesërisht në njerëz - si Lanyado - dhe disa vazhduan dhe i kthyen ato në pako të vërteta. Kjo, nga ana tjetër, ka çuar në përfshirjen aksidentale të kodit potencialisht me qëllim të keq brenda projekteve reale dhe legjitime softuerike.
Një nga bizneset që ra nën këtë ndikim ishte Alibaba, një nga lojtarët kryesorë në industrinë e teknologjisë. Brenda udhëzimeve të tyre të instalimit për GraphTranslator, Lanyado zbuloi se Alibaba kishte përfshirë një paketë të quajtur "huggingface-cli" që ishte falsifikuar. Në fakt, ekzistonte një paketë e vërtetë me të njëjtin emër të vendosur në Indeksin e Paketave Python (PyPI), por udhëzuesi i Alibaba i referohej asaj që Lanyado kishte bërë.
Testimi i qëndrueshmërisë
Hulumtimi i Lanyado synonte të vlerësonte jetëgjatësinë dhe shfrytëzimin e mundshëm të këtyre emrave të paketave të krijuara nga AI. Në këtë kuptim, LQuery realizoi modele të dallueshme të AI në lidhje me sfidat e programimit dhe midis gjuhëve në procesin e të kuptuarit nëse, në mënyrë efektive, në mënyrë sistematike, rekomandoheshin ata emra fiktive. Është e qartë në këtë eksperiment se ekziston rreziku që subjektet e dëmshme të abuzojnë me emrat e paketave të krijuara nga AI për shpërndarjen e softuerit me qëllim të keq.
Këto rezultate kanë implikime të thella. Aktorët e këqij mund të shfrytëzojnë besimin e verbër të vendosur nga zhvilluesit në rekomandimet e marra në mënyrë të tillë që ata të mund të fillojnë të publikojnë paketa të dëmshme me identitete të rreme. Me modelet e AI, rreziku rritet me rekomandimet e qëndrueshme të AI që bëhen për emrat e paketave të shpikura, të cilat do të përfshiheshin si malware nga zhvillues të pavetëdijshëm. **Rruga perpara**
Prandaj, ndërsa AI integrohet më tej me zhvillimin e softuerit, nevoja për të rregulluar dobësitë mund të lindë nëse lidhet me rekomandimet e krijuara nga AI. Në raste të tilla, duhet të praktikohet kujdesi i duhur në mënyrë që paketat softuerike të sugjeruara për integrim të jenë legjitime. Për më tepër, duhet të jetë në vend që platforma që pret depon e softuerit të verifikojë dhe të jetë mjaft e fortë që të mos shpërndahet asnjë kod i cilësisë së keqe.
Kryqëzimi i inteligjencës artificiale dhe zhvillimit të softuerit ka zbuluar një kërcënim shqetësues të sigurisë. Gjithashtu, modeli i AI mund të çojë në rekomandimin aksidental të paketave softuerike të rreme, gjë që paraqet një rrezik të madh për integritetin e projekteve softuerike. Fakti që në udhëzimet e tij, Alibaba përfshiu një kuti që nuk duhet të kishte qenë kurrë atje, është vetëm një provë e qëndrueshme se si mund të lindin në të vërtetë mundësitë kur njerëzit ndjekin rekomandimet në mënyrë robotike.
dhënë nga AI. Në të ardhmen, do të duhet të merret vigjilencë në masat proaktive në mënyrë që të ruhet keqpërdorimi i AI për zhvillimin e softuerit.
Burimi: https://www.cryptopolitan.com/ai-generated-software-packages-threats/