L'expert en sécurité Bar Lanyado a récemment mené des recherches sur la manière dont les modèles d'IA générative contribuent involontairement à d'importantes menaces de sécurité potentielles dans le monde du développement logiciel. Ces recherches ont mis en évidence une tendance alarmante : l'IA suggère des modules logiciels fictifs, que les développeurs intègrent, à leur insu, à leurs bases de code.
Le problème dévoilé
Le problème, c'est que la solution générée utilisait un nom fictif, une pratique courante en IA. Or, ces noms de paquets fictifs sont ensuite suggérésdentaux développeurs qui ont des difficultés à programmer avec des modèles d'IA. En effet, certains noms de paquets inventés s'inspirent en partie de personnes, comme Lanyado, et certains ont même été transformés en paquets réels. Cela a, par conséquent, conduit à l'inclusiondentde code potentiellement malveillant dans des projets logiciels légitimes.
Alibaba, un acteur majeur du secteur technologique, a été l'une des entreprises touchées. Dans ses instructions d'installation de GraphTranslator, Lanyado a découvert qu'Alibaba avait inclus un paquetage contrefait nommé « huggingface-cli ». En réalité, un véritable paquetage du même nom existait sur le Python Package Index (PyPI), mais le guide d'Alibaba faisait référence à celui créé par Lanyado.
Test de persistance
Les recherches de Lanyado visaient à évaluer la pérennité et l'exploitation potentielle de ces noms de paquets générés par l'IA. À cette fin, LQuery a mis en œuvre différents modèles d'IA pour analyser les défis de programmation et les spécificités des langages, afin de déterminer si, de manièrematic , ces noms fictifs étaient effectivement recommandés. Cette expérience a clairement démontré le risque que des acteurs malveillants exploitent ces noms de paquets générés par l'IA pour diffuser des logiciels malveillants.
Ces résultats ont des implications importantes. Des personnes mal intentionnées pourraient exploiter la confiance aveugle que les développeurs accordent aux recommandations reçues afin de publier des paquets malveillants sous de faussesdent. Avec les modèles d'IA, le risque augmente car des recommandations systématiques sont formulées pour des noms de paquets inventés, qui pourraient être intégrés comme logiciels malveillants par des développeurs non avertis. **Perspectives d'avenir**
Par conséquent, à mesure que l'IA s'intègre davantage au développement logiciel, la nécessité de corriger les vulnérabilités liées aux recommandations générées par l'IA peut se faire sentir. Dans ce cas, une diligence raisonnable doit être exercée afin de garantir la légitimité des progiciels proposés à l'intégration. De plus, la plateforme hébergeant le dépôt de logiciels doit disposer de mécanismes de vérification robustes permettant d'tronla diffusion de code malveillant.
L'intersection de l'intelligence artificielle et du développement logiciel a révélé une menace préoccupante pour la sécurité. De plus, les modèles d'IA peuvent conduire à la recommandationdentde faux logiciels, ce qui représente un risque majeur pour l'intégrité des projets logiciels. Le fait qu'Alibaba ait inclus une case superflue dans ses instructions illustre parfaitement les conséquences possibles d'un suivi automatique des recommandations
L'intelligence artificielle (IA) est utilisée pour développer des logiciels. À l'avenir, il faudra faire preuve de vigilance et prendre des mesures proactives pour prévenir tout usage abusif de l'IA dans ce domaine.
