L'esperto di sicurezza Bar Lanyado ha recentemente condotto una ricerca su come i modelli di intelligenza artificiale generativa contribuiscano inavvertitamente a enormi potenziali minacce alla sicurezza nel mondo dello sviluppo software. La ricerca di Lanyado ha rilevato una tendenza allarmante: l'intelligenza artificiale suggerisce pacchetti di software immaginari e gli sviluppatori, senza nemmeno rendersene conto, li includono nelle loro basi di codice.
Il problema svelato
Ora, il problema è che la soluzione generata era un nome fittizio, qualcosa di tipico dell'intelligenza artificiale. Tuttavia, questi nomi fittizi di pacchetti vengono poi suggeriti condentagli sviluppatori che hanno difficoltà a programmare con modelli di intelligenza artificiale. In effetti, alcuni nomi di pacchetti inventati sono stati in parte basati su persone, come Lanyado, e alcuni li hanno trasformati in pacchetti reali. Questo, a sua volta, ha portato all'inclusionedentdi codice potenzialmente dannoso all'interno di progetti software reali e legittimi.
Una delle aziende colpite da questo impatto è stata Alibaba, uno dei principali attori del settore tecnologico. Nelle istruzioni di installazione di GraphTranslator, Lanyado ha scoperto che Alibaba includeva un pacchetto chiamato "huggingface-cli" contraffatto. In realtà, esisteva un pacchetto reale con lo stesso nome ospitato sul Python Package Index (PyPI), ma la guida di Alibaba faceva riferimento a quello creato da Lanyado.
Test della persistenza
La ricerca di Lanyado mirava a valutare la longevità e il potenziale sfruttamento di questi nomi di pacchetti generati dall'intelligenza artificiale. In questo senso, LQuery ha realizzato modelli di intelligenza artificiale distinti sulle sfide di programmazione e tra linguaggi diversi, nel tentativo di comprendere se, effettivamente e in modomatic , quei nomi fittizi fossero raccomandati. Da questo esperimento emerge chiaramente il rischio che entità dannose possano abusare dei nomi di pacchetti generati dall'intelligenza artificiale per la distribuzione di software dannoso.
Questi risultati hanno implicazioni profonde. I malintenzionati potrebbero sfruttare la fiducia cieca riposta dagli sviluppatori nelle raccomandazioni ricevute, iniziando a pubblicare pacchetti dannosi con falsedent. Con i modelli di intelligenza artificiale, il rischio aumenta con raccomandazioni di intelligenza artificiale coerenti per nomi di pacchetti inventati, che verrebbero inclusi come malware da sviluppatori ignari. **La via da seguire**
Pertanto, man mano che l'IA si integra ulteriormente con lo sviluppo del software, potrebbe sorgere la necessità di correggere le vulnerabilità in relazione alle raccomandazioni generate dall'IA. In tali casi, è necessario esercitare la due diligence affinché i pacchetti software suggeriti per l'integrazione siano legittimi. Inoltre, la piattaforma che ospita il repository del software dovrebbe essere verificata e sufficientementetronda impedire la distribuzione di codice malevolo.
L'intersezione tra intelligenza artificiale e sviluppo software ha svelato una preoccupante minaccia per la sicurezza. Inoltre, il modello di intelligenza artificiale potrebbe portare alla raccomandazionedentdi pacchetti software falsi, il che rappresenta un grave rischio per l'integrità dei progetti software. Il fatto che Alibaba abbia incluso nelle sue istruzioni un riquadro che non avrebbe mai dovuto esserci è la prova lampante di come le possibilità possano effettivamente verificarsi quando le persone seguono roboticamente le raccomandazioni
fornite dall'IA. In futuro, sarà necessario vigilare e adottare misure proattive per prevenire l'uso improprio dell'IA nello sviluppo di software.
