L'expert en sécurité Bar Lanyado a récemment mené des recherches sur la manière dont les modèles d'IA génératifs contribuent par inadvertance à d'énormes menaces potentielles pour la sécurité dans le monde du développement logiciel. Une telle recherche menée par Lanyado a révélé une tendance alarmante : l'IA suggère des packages de logiciels imaginaires et les développeurs, sans même s'en rendre compte, les incluent dans leurs bases de code.
Le problème dévoilé
Le problème est que la solution générée était un nom fictif, typique de l’IA. Cependant, ces noms de packages fictifs sont ensuite suggérés en dent aux développeurs qui ont des difficultés à programmer avec des modèles d'IA. En effet, certains noms de paquets inventés sont en partie basés sur des personnes, comme Lanyado, et certains sont allés de l'avant et les ont transformés en véritables paquets. Cela a, à son tour, conduit à l’inclusion dent de codes potentiellement malveillants dans des projets logiciels réels et légitimes.
L’une des entreprises touchées par cet impact est Alibaba, l’un des principaux acteurs de l’industrie technologique. Dans ses instructions d'installation de GraphTranslator, Lanyado a découvert qu'Alibaba avait inclus un package appelé « huggingface-cli » qui avait été falsifié. En fait, il existait un véritable package du même nom hébergé sur Python Package Index (PyPI), mais le guide d'Alibaba faisait référence à celui que Lanyado avait créé.
Tester la persistance
Les recherches de Lanyado visaient à évaluer la longévité et l'exploitation potentielle de ces noms de packages générés par l'IA. En ce sens, LQuery a réalisé des modèles d’IA distincts sur les défis de programmation et entre langages en cours de compréhension si, effectivement, de manière matic , ces noms fictifs étaient recommandés. Il ressort clairement de cette expérience qu’il existe un risque que des entités nuisibles abusent des noms de packages générés par l’IA pour distribuer des logiciels malveillants.
Ces résultats ont de profondes implications. Les acteurs malveillants peuvent exploiter la confiance aveugle placée par les développeurs dans les recommandations reçues de manière à commencer à publier des packages nuisibles sous de fausses dent . Avec les modèles d'IA, le risque augmente à mesure que des recommandations cohérentes d'IA sont formulées pour des noms de packages inventés, qui seraient inclus comme logiciels malveillants par des développeurs inconscients. **La voie à suivre**
Par conséquent, à mesure que l’IA s’intègre davantage au développement de logiciels, la nécessité de corriger les vulnérabilités peut survenir si elle est liée aux recommandations générées par l’IA. Dans de tels cas, une diligence raisonnable doit être exercée afin que les progiciels suggérés pour l’intégration soient légitimes. De plus, il doit être en place pour que la plate-forme hébergeant le référentiel de logiciels puisse vérifier et être suffisamment tron pour qu'aucun code de qualité malveillante ne soit distribué.
L’intersection de l’intelligence artificielle et du développement de logiciels a révélé une menace de sécurité inquiétante. En outre, le modèle d’IA peut conduire à la recommandation dent de faux progiciels, ce qui présente un risque important pour l’intégrité des projets logiciels. Le fait que dans ses instructions, Alibaba ait inclus une boîte qui n'aurait jamais dû être là n'est qu'une preuve tangible de la façon dont les possibilités pourraient réellement découler lorsque les gens suivraient automatiquement les recommandations.
donné par l’IA. À l’avenir, il faudra faire preuve de vigilance et prendre des mesures proactives afin d’éviter toute utilisation abusive de l’IA pour le développement de logiciels.
