Ο ειδικός σε θέματα ασφάλειας, Bar Lanyado, πραγματοποίησε πρόσφατα κάποια έρευνα σχετικά με τον τρόπο με τον οποίο τα παραγωγικά μοντέλα AI συμβάλλουν ακούσια σε τεράστιες πιθανές απειλές για την ασφάλεια στον κόσμο της ανάπτυξης λογισμικού. Μια τέτοια έρευνα από τον Lanyado βρήκε μια ανησυχητική τάση: Η τεχνητή νοημοσύνη προτείνει πακέτα φανταστικού λογισμικού και οι προγραμματιστές, χωρίς καν να το γνωρίζουν, το περιλαμβάνουν στις βάσεις κωδικών τους.
Το θέμα που αποκαλύφθηκε
Τώρα, το πρόβλημα είναι ότι η λύση που δημιουργήθηκε ήταν ένα πλασματικό όνομα - κάτι χαρακτηριστικό της τεχνητής νοημοσύνης. Ωστόσο, αυτά τα εικονικά ονόματα πακέτων προτείνονται στη συνέχεια με σιγουριά σε προγραμματιστές που αντιμετωπίζουν δυσκολίες στον προγραμματισμό με μοντέλα AI. Πράγματι, ορισμένα ονόματα πακέτων που επινοήθηκαν βασίστηκαν εν μέρει σε ανθρώπους - όπως το Lanyado - και μερικά προχώρησαν και τα μετέτρεψαν σε πραγματικά πακέτα. Αυτό, με τη σειρά του, οδήγησε στην τυχαία συμπερίληψη δυνητικά κακόβουλου κώδικα σε πραγματικά και νόμιμα έργα λογισμικού.
Μία από τις επιχειρήσεις που έπεσαν κάτω από αυτόν τον αντίκτυπο ήταν η Alibaba, ένας από τους σημαντικότερους παίκτες στον κλάδο της τεχνολογίας. Στις οδηγίες εγκατάστασης για το GraphTranslator, ο Lanyado διαπίστωσε ότι η Alibaba είχε συμπεριλάβει ένα πακέτο που ονομάζεται "huggingface-cli" που είχε πλαστογραφηθεί. Στην πραγματικότητα, υπήρχε ένα πραγματικό πακέτο με το ίδιο όνομα που φιλοξενείτο στο Python Package Index (PyPI), αλλά ο οδηγός της Alibaba αναφερόταν σε αυτό που είχε φτιάξει ο Lanyado.
Δοκιμή της επιμονής
Η έρευνα του Lanyado είχε στόχο να αξιολογήσει τη μακροζωία και την πιθανή εκμετάλλευση αυτών των ονομάτων πακέτων που δημιουργήθηκαν από την τεχνητή νοημοσύνη. Υπό αυτή την έννοια, το LQuery πραγματοποίησε ξεχωριστά μοντέλα τεχνητής νοημοσύνης σχετικά με τις προκλήσεις προγραμματισμού και μεταξύ γλωσσών στη διαδικασία κατανόησης εάν, ουσιαστικά, με συστηματικό τρόπο, συνιστώνταν αυτά τα εικονικά ονόματα. Είναι σαφές σε αυτό το πείραμα ότι υπάρχει ο κίνδυνος επιβλαβείς οντότητες να κάνουν κατάχρηση ονομάτων πακέτων που δημιουργούνται από AI για τη διανομή κακόβουλου λογισμικού.
Αυτά τα αποτελέσματα έχουν βαθιές επιπτώσεις. Οι κακοί ηθοποιοί ενδέχεται να εκμεταλλευτούν την τυφλή εμπιστοσύνη των προγραμματιστών στις ληφθείσες συστάσεις με τέτοιο τρόπο ώστε να αρχίσουν να δημοσιεύουν επιβλαβή πακέτα με ψευδείς ταυτότητες. Με τα μοντέλα τεχνητής νοημοσύνης, ο κίνδυνος αυξάνεται καθώς γίνονται συνεπείς συστάσεις τεχνητής νοημοσύνης για επινοημένα ονόματα πακέτων, τα οποία θα περιλαμβάνονται ως κακόβουλο λογισμικό από προγραμματιστές που δεν γνωρίζουν. **Ο δρόμος μπροστά**
Ως εκ τούτου, καθώς η τεχνητή νοημοσύνη ενσωματώνεται περαιτέρω με την ανάπτυξη λογισμικού, μπορεί να προκύψει η ανάγκη επιδιόρθωσης των τρωτών σημείων εάν συνδέονται με συστάσεις που δημιουργούνται από την τεχνητή νοημοσύνη. Σε τέτοιες περιπτώσεις, πρέπει να ασκείται η δέουσα επιμέλεια, ώστε τα πακέτα λογισμικού που προτείνονται για ενσωμάτωση να είναι νόμιμα. Επιπλέον, θα πρέπει να είναι σε θέση η πλατφόρμα που φιλοξενεί το αποθετήριο λογισμικού να επαληθεύει και να είναι αρκετά ισχυρή ώστε να μην διανέμεται κώδικας κακόβουλης ποιότητας.
Η διασταύρωση της τεχνητής νοημοσύνης και της ανάπτυξης λογισμικού αποκάλυψε μια ανησυχητική απειλή για την ασφάλεια. Επίσης, το μοντέλο τεχνητής νοημοσύνης μπορεί να οδηγήσει σε τυχαία σύσταση πλαστών πακέτων λογισμικού, γεγονός που ενέχει μεγάλο κίνδυνο για την ακεραιότητα των έργων λογισμικού. Το γεγονός ότι στις οδηγίες του, ο Alibaba περιλάμβανε ένα κουτί που δεν έπρεπε ποτέ να υπήρχε εκεί είναι μια μόνιμη απόδειξη για το πώς θα μπορούσαν πραγματικά να προκύψουν οι δυνατότητες όταν οι άνθρωποι ακολουθούσαν ρομποτικά τις συστάσεις
δίνεται από το AI. Στο μέλλον, θα πρέπει να λαμβάνεται επαγρύπνηση σε προληπτικά μέτρα, ώστε να αποφεύγεται η κατάχρηση της τεχνητής νοημοσύνης για την ανάπτυξη λογισμικού.
Πηγή: https://www.cryptopolitan.com/ai-generated-software-packages-threats/