보안 전문가 바 라니아도는 최근 생성 AI 모델이 소프트웨어 개발 분야에서 어떻게 의도치 않게 엄청난 잠재적 보안 위협에 기여하는지에 대한 연구를 수행했습니다. 라니아도의 이러한 연구는 놀라운 경향을 발견했습니다. AI가 가상의 소프트웨어 패키지를 제안하고, 개발자들은 자신도 모르게 이를 코드베이스에 포함시키는 것입니다.
문제가 공개되었습니다
문제는 생성된 솔루션이 AI에서 흔히 볼 수 있는 허구의 이름이었다는 것입니다. 그러나 이러한 허구의 패키지 이름은 AI 모델 프로그래밍에 어려움을 겪는 개발자에게 자신dent제안됩니다. 실제로, 일부 허구의 패키지 이름은 Lanyado와 같은 사람의 이름을 부분적으로 기반으로 하기도 하고, 일부는 이를 실제 패키지로 변형하기도 했습니다. 이로 인해 실제 합법적인 소프트웨어 프로젝트에dent으로 악성 코드가 포함되는 사고가 발생했습니다.
이러한 영향을 받은 기업 중 하나는 기술 업계의 주요 기업 중 하나인 알리바바였습니다. 랜야도는 GraphTranslator 설치 설명서에서 알리바바가 "huggingface-cli"라는 가짜 패키지를 포함하고 있음을 발견했습니다. 사실, 파이썬 패키지 인덱스(PyPI)에 같은 이름의 실제 패키지가 있었지만, 알리바바의 설명서는 랜야도가 만든 패키지를 참조했습니다.
지속성 테스트
Lanyado의 연구는 이러한 AI 생성 패키지 이름의 지속성과 잠재적 악용 가능성을 평가하는 것을 목표로 했습니다. 이러한 맥락에서 LQuery는 프로그래밍 과제와 언어 간 차이에 대한 고유한 AI 모델을 수행하여, 이러한 가상 이름이matic 으로 효과적으로 추천되었는지 여부를 파악했습니다. 이 실험을 통해 유해한 개체가 AI 생성 패키지 이름을 악용하여 악성 소프트웨어를 배포할 위험이 있음을 분명히 알 수 있습니다.
이러한 결과는 심오한 의미를 지닙니다. 악의적인 행위자는 개발자가 수신한 추천에 대해 맹목적으로 신뢰하는 상황을 악용하여 가짜dent으로 유해한 패키지를 게시할 수 있습니다. AI 모델을 사용하면, 개발자가 의도치 않게 악성코드로 등록할 수 있는 가짜 패키지 이름에 대해 일관된 AI 추천이 제공되므로 위험이 증가합니다. **향후 방향**
따라서 AI가 소프트웨어 개발에 더욱 통합됨에 따라, AI가 생성한 권장 사항과 관련된 취약점을 수정해야 할 필요성이 발생할 수 있습니다. 이러한 경우, 통합을 위해 제안된 소프트웨어 패키지가 합법적인지 확인하기 위해 실사를 실시해야 합니다. 또한, 소프트웨어 저장소를 호스팅하는 플랫폼은 검증을 수행하고 악성 코드가 배포되지 않도록 충분히tron해야 합니다.
인공지능과 소프트웨어 개발의 교차점은 우려스러운 보안 위협을 드러냈습니다. 또한, AI 모델은 가짜 소프트웨어 패키지를dent로 추천하게 만들 수 있으며, 이는 소프트웨어 프로젝트의 무결성에 큰 위험을 초래합니다. 알리바바가 자신의 지침에 절대 있어서는 안 될 상자를 포함시켰다는 사실은 사람들이 추천을 자동으로 따를 때 실제로 어떤 일이 발생할 수 있는지를 보여주는 단적인 증거입니다.
AI가 제공하는 기능입니다. 앞으로는 소프트웨어 개발에 AI가 오용되는 것을 방지하기 위해 선제적인 조치를 취하는 데 주의를 기울여야 할 것입니다.
