安全专家巴尔·拉尼亚多(Bar Lanyado)近期开展了一项研究,探讨生成式人工智能模型如何在无意中给软件开发领域带来巨大的潜在安全威胁。拉尼亚多的研究发现了一个令人担忧的趋势:人工智能会推荐一些虚构的软件包,而开发人员在不知情的情况下,就将这些软件包集成到了他们的代码库中。
问题揭晓
现在的问题是,生成的解决方案是一个虚构的名称——这是人工智能的典型特征。然而,这些虚构的软件包名称却被dent地推荐给那些在使用人工智能模型编程时遇到困难的开发者。事实上,一些虚构的软件包名称部分取材于真人——例如 Lanyado——甚至有人直接将它们变成了真正的软件包。这反过来又导致了潜在的恶意代码被dent地包含在真实合法的软件项目中。
受此影响的企业之一是科技行业巨头阿里巴巴。Lanyado 发现,阿里巴巴在其 GraphTranslator 安装指南中包含了一个名为“huggingface-cli”的伪造软件包。事实上,Python 包索引 (PyPI) 上确实存在一个同名的真正软件包,但阿里巴巴的指南却引用了 Lanyado 自己制作的那个版本。
测试持久性
Lanyado 的研究旨在评估这些人工智能生成的软件包名称的持久性和潜在滥用风险。为此,LQuery 针对不同的编程挑战和编程语言,构建了不同的人工智能模型,以matic 地理解这些虚构名称是否真的被推荐。实验结果表明,恶意实体有可能滥用人工智能生成的软件包名称来传播恶意软件。
这些结果意义深远。不法分子可能会利用开发者对所获推荐的盲目信任,以虚假dent发布有害软件包。随着人工智能模型的出现,风险进一步增加,因为人工智能可能会持续推荐虚构的软件包名称,而这些名称很可能被不知情的开发者用作恶意软件。**未来展望**
因此,随着人工智能与软件开发的融合日益加深,如果人工智能生成的建议与软件漏洞相关,则可能需要修复这些漏洞。在这种情况下,必须进行尽职调查,以确保推荐集成的软件包合法可靠。此外,托管软件库的平台应具备验证机制,并tron足够的安全保障,防止恶意代码的传播。
人工智能与软件开发的融合揭示了一个令人担忧的安全威胁。此外,人工智能模型可能导致dent推荐虚假软件包,这对软件项目的完整性构成巨大风险。阿里巴巴在其产品说明中包含一个本不该存在的盒子,这恰恰证明了当人们机械地遵循推荐时,可能出现的问题会多么严重。
人工智能带来的挑战。未来,必须采取积极主动的措施,警惕人工智能在软件开发中的滥用行为。
