פיננסים

חבילות תוכנה שנוצרו על ידי בינה מלאכותית מהוות איומי אבטחה

1 לפני חודש
חדשות Ethereum של ביטקוין

מומחה האבטחה בר לניאדו ערך לאחרונה מחקר על האופן שבו דגמי AI גנרטיביים תורמים מבלי משים לאיומי אבטחה פוטנציאליים ענקיים בעולם פיתוח התוכנה. מחקר כזה של לניאדו מצא מגמה מדאיגה: הבינה המלאכותית מציעה חבילות של תוכנות דמיוניות, ומפתחים, מבלי שהם בכלל מודעים לכך, כוללים זאת בבסיסי הקוד שלהם.

הגיליון נחשף

כעת, הבעיה היא שהפתרון שנוצר היה שם בדוי - משהו אופייני לבינה מלאכותית. עם זאת, שמות החבילות הפיקטיביים הללו מוצעים בביטחון למפתחים שמתקשים לתכנת עם דגמי AI. ואכן, כמה שמות חבילות שהומצאו התבססו חלקית על אנשים - כמו לניאדו - וחלקם המשיכו והפכו אותם לחבילות אמיתיות. זה, בתורו, הוביל להכללה מקרית של קוד פוטנציאלי זדוני בתוך פרויקטי תוכנה אמיתיים ולגיטימיים.

אחד העסקים שנפלו תחת ההשפעה הזו היה עליבאבא, אחד השחקנים הגדולים בתעשיית הטכנולוגיה. בהוראות ההתקנה של GraphTranslator, לניאדו גילה שעליבאבא כללה חבילה בשם "huggingface-cli" שזויפה. למעשה, הייתה חבילה אמיתית עם אותו שם שהתארחה באינדקס החבילות של Python (PyPI), אבל המדריך של עליבאבא התייחס לזה שלניאדו הכין.

בודקים את ההתמדה

המחקר של לניאדו נועד להעריך את אורך החיים והניצול הפוטנציאלי של שמות החבילות שנוצרו בינה מלאכותית. במובן זה, LQuery ביצעה מודלים ברורים של בינה מלאכותית לגבי אתגרי התכנות ובין שפות בתהליך ההבנה אם, ביעילות, בצורה שיטתית, הומלצו השמות הפיקטיביים הללו. ברור בניסוי זה שיש סיכון שישויות מזיקות עלולות להשתמש לרעה בשמות חבילות שנוצרו בינה מלאכותית לצורך הפצת תוכנות זדוניות.

לתוצאות הללו יש השלכות עמוקות. שחקנים רעים עלולים לנצל את האמון העיוור שנותנים מפתחים בהמלצות המתקבלות בצורה כזו שהם עלולים להתחיל לפרסם חבילות מזיקות בזהות בדויה. עם מודלים של AI, הסיכון עולה עם המלצות AI עקביות עבור שמות חבילות מומצאים, שייכללו כתוכנה זדונית על ידי מפתחים לא מודעים. **הדרך קדימה**

לכן, כאשר בינה מלאכותית משתלבת עוד יותר בפיתוח תוכנה, הצורך לתקן את הפגיעויות עשוי להתעורר אם הוא מחובר להמלצות שנוצרו בינה מלאכותית. במקרים כאלה, יש לתרגל בדיקת נאותות כדי שחבילות התוכנה המוצעות לשילוב יהיו לגיטימיות. יתר על כן, זה צריך להיות במקום כדי שהפלטפורמה המארחת את מאגר התוכנה תוודא ותהיה מספיק חזקה כדי שאסור להפיץ שום קוד באיכות זדונית.

המפגש בין בינה מלאכותית ופיתוח תוכנה חשף איום אבטחה מדאיג. כמו כן, מודל הבינה המלאכותית עשוי להוביל להמלצה מקרית של חבילות תוכנה מזויפות, מה שמהווה סיכון גדול לשלמות פרויקטי תוכנה. העובדה שבהוראות שלו, עליבאבא כללה קופסה שמעולם לא הייתה צריכה להיות שם היא אך הוכחה עומדת לאופן שבו האפשרויות יכולות להיווצר כאשר אנשים עוקבים אחר ההמלצות ברובוט 

ניתן על ידי AI. בעתיד, יהיה צורך לנקוט ערנות בצעדים יזומים כדי להישמר מפני שימוש לרעה ב-AI לפיתוח תוכנה.

מקור: https://www.cryptopolitan.com/ai-generated-software-packages-threats/