Експертот за безбедност Бар Лањадо неодамна направи истражување за тоа како генеративните модели на вештачка интелигенција придонесуваат ненамерно кон огромните потенцијални безбедносни закани во светот на развој на софтвер. Ваквото истражување на Лањадо откри алармантен тренд: вештачката интелигенција предлага пакети на имагинарен софтвер, а програмерите, без воопшто да бидат свесни, го вклучуваат во нивните бази на кодови.
Откриеното прашање
Сега, проблемот е што генерираното решение беше фиктивно име - нешто типично за вештачката интелигенција. Сепак, овие фиктивни имиња на пакети потоа самоуверено им се предлагаат на програмерите кои имаат потешкотии да програмираат со модели со вештачка интелигенција. Навистина, некои измислени имиња на пакети делумно се засноваат на луѓе - како Лањадо - а некои продолжија и ги претворија во вистински пакети. Ова, пак, доведе до случајно вклучување на потенцијално злонамерен код во реални и легитимни софтверски проекти.
Еден од бизнисите што падна под ова влијание беше Alibaba, еден од главните играчи во технолошката индустрија. Во нивните инструкции за инсталација за GraphTranslator, Лањадо откри дека Алибаба вклучила пакет наречен „huggingface-cli“ кој бил фалсификуван. Всушност, постоеше вистински пакет со истото име хостиран на Индексот на пакети Python (PyPI), но водичот на Alibaba се однесуваше на оној што го направи Лањадо.
Тестирање на упорноста
Истражувањето на Лањадо имаше за цел да ја процени долговечноста и потенцијалната експлоатација на овие имиња на пакети генерирани со вештачка интелигенција. Во оваа смисла, LQuery спроведе различни модели на вештачка интелигенција за програмските предизвици и меѓу јазиците во процесот на разбирање, доколку, ефективно, на систематски начин, се препорачани тие фиктивни имиња. Во овој експеримент е јасно дека постои ризик штетните субјекти да ги злоупотребат имињата на пакетите генерирани од вештачка интелигенција за дистрибуција на малициозен софтвер.
Овие резултати имаат длабоки импликации. Лошите актери може да ја искористат слепата доверба од програмерите во добиените препораки на таков начин што може да почнат да објавуваат штетни пакети под лажни идентитети. Со моделите со вештачка интелигенција, ризикот се зголемува со конзистентни препораки за вештачка интелигенција за измислени имиња на пакети, кои би биле вклучени како малициозен софтвер од несвесни програмери. **Патот напред**
Затоа, како што вештачката интелигенција дополнително се интегрира со развојот на софтверот, може да се појави потреба да се поправат пропустите доколку се поврзат со препораки генерирани од вештачката интелигенција. Во такви случаи, мора да се практикува должна анализа за софтверските пакети предложени за интеграција да бидат легитимни. Понатаму, треба да биде поставено платформата што го хостира складиштето на софтвер да верификува и да биде доволно силна што не треба да се дистрибуира код со злонамерен квалитет.
Пресекот на вештачката интелигенција и развојот на софтвер откри загрижувачка безбедносна закана. Исто така, моделот на вештачка интелигенција може да доведе до случајна препорака за лажни софтверски пакети, што претставува голем ризик за интегритетот на софтверските проекти. Фактот дека во неговите упатства, Алибаба вклучи кутија што никогаш не требаше да биде таму, е само постојан доказ за тоа како всушност може да настанат можностите кога луѓето роботски ги следат препораките
дадена од АИ. Во иднина, ќе треба да се преземе внимателност во проактивни мерки за да се заштити од злоупотреба на вештачката интелигенција за развој на софтвер.
Извор: https://www.cryptopolitan.com/ai-generated-software-packages-threats/