安全专家 Bar Lanyado 最近做了一些研究,研究生成式 AI 模型如何无意中对软件开发领域造成巨大的潜在安全威胁。 Lanyado 的此类研究发现了一个令人担忧的趋势:人工智能建议使用虚构的软件包,而开发人员甚至在不知情的情况下将其包含在他们的代码库中。
问题揭晓
现在的问题是,生成的解决方案是一个虚构的名称——这是人工智能的典型特征。 然而,这些虚构的包名称随后会被自信dent建议给那些难以使用人工智能模型进行编程的开发人员。 事实上,一些发明的软件包名称部分是基于像兰亚多这样的人,而有些则继续将它们变成真正的软件包。 这反过来又导致真实和合法的软件项目中dent包含潜在的恶意代码。
受到这种影响的企业之一是阿里巴巴,它是科技行业的主要参与者之一。 Lanyado 在 GraphTranslator 的安装说明中发现阿里巴巴包含了一个名为“huggingface-cli”的伪造软件包。 事实上,Python 包索引(PyPI)上确实有一个同名的包,但阿里巴巴的指南提到的是 Lanyado 制作的包。
测试持久性
Lanyado 的研究旨在评估这些人工智能生成的包名称的寿命和潜在的利用。 从这个意义上说,LQuery 在理解是否有效、系统matic推荐这些虚构名称的过程中,针对编程挑战和语言之间建立了不同的人工智能模型。 在此实验中可以清楚地看出,有害实体存在滥用人工智能生成的包名称来分发恶意软件的风险。
这些结果具有深远的意义。 不良行为者可能会利用开发人员对收到的建议的盲目信任,开始以虚假dent发布有害软件包。 使用人工智能模型,随着对发明的包名称提出一致的人工智能建议,风险会增加,这些名称可能会被不知情的开发人员作为恶意软件包含在内。 **前进之路**
因此,随着人工智能与软件开发的进一步结合,如果与人工智能生成的建议相结合,可能会出现修复漏洞的需要。 在这种情况下,必须进行尽职调查,以确保建议集成的软件包是合法的。 此外,托管软件存储库的平台应该到位,以进行验证并tron强大,以确保不应分发恶意质量的代码。
人工智能和软件开发的交叉揭示了令人担忧的安全威胁。 此外,AI模型还可能导致虚假软件包的dent推荐,这给软件项目的完整性带来很大风险。 事实上,阿里巴巴在他的指示中包含了一个本不应该存在的盒子,但这足以证明当人们机器人地遵循建议时,可能性实际上是如何发生的
由AI给出。 未来,必须保持警惕,采取积极主动的措施,防止人工智能被滥用于软件开发。
