Стручњак за безбедност Бар Лањадо је недавно урадио неко истраживање о томе како генеративни АИ модели ненамерно доприносе огромним потенцијалним безбедносним претњама у свету развоја софтвера. Такво истраживање Лањада открило је алармантан тренд: АИ предлаже пакете имагинарног софтвера, а програмери га, а да нису ни свесни, укључују у своје базе кодова.
Тхе Иссуе Унвеилед
Проблем је у томе што је генерисано решење било измишљено име - нешто типично за АИ. Међутим, ови измишљени називи пакета се онда поуздано предлажу програмерима који имају потешкоћа у програмирању са АИ моделима. Заиста, неки измишљени називи пакета су делимично засновани на људима — попут Лањада — а неки су кренули даље и претворили их у праве пакете. Ово је заузврат довело до случајног укључивања потенцијално злонамерног кода у стварне и легитимне софтверске пројекте.
Једна од компанија која је пала под овај удар била је Алибаба, један од главних играча у технолошкој индустрији. У својим упутствима за инсталацију ГрапхТранслатор-а, Ланиадо је открио да је Алибаба укључио пакет под називом „хуггингфаце-цли“ који је био лажиран. У ствари, постојао је прави пакет са истим именом који се налазио на Питхон индексу пакета (ПиПИ), али Алибабин водич се позивао на онај који је направио Лањадо.
Тестирање упорности
Ланиадоово истраживање је имало за циљ да процени дуговечност и потенцијалну експлоатацију ових имена пакета генерисаних АИ. У том смислу, ЛКуери је спровео различите моделе вештачке интелигенције о изазовима програмирања и између језика у процесу разумевања ако су, ефективно, на систематски начин, препоручена та измишљена имена. У овом експерименту је јасно да постоји ризик да би штетни ентитети могли да злоупотребе називе пакета које генерише вештачка интелигенција за дистрибуцију злонамерног софтвера.
Ови резултати имају дубоке импликације. Лоши актери могу да искористе слепо поверење програмера у примљене препоруке на начин да почну да објављују штетне пакете под лажним идентитетом. Са моделима вештачке интелигенције, ризик се повећава са доследним препорукама АИ за измишљене називе пакета, које би несвесни програмери укључили као малвер. **Пут напред**
Због тога, како се АИ даље интегрише са развојем софтвера, може се појавити потреба за отклањањем рањивости ако се повеже са препорукама које генерише вештачка интелигенција. У таквим случајевима мора се практиковати дужна пажња како би софтверски пакети предложени за интеграцију били легитимни. Штавише, требало би да постоји за платформу која хостује складиште софтвера да верификује и да буде довољно јака да се не дистрибуира код злонамерног квалитета.
Укрштање вештачке интелигенције и развоја софтвера открило је забрињавајућу безбедносну претњу. Такође, АИ модел може довести до случајне препоруке лажних софтверских пакета, што представља велики ризик по интегритет софтверских пројеката. Чињеница да је у својим упутствима Алибаба укључио кутију која никада није требало да постоји је само трајни доказ како би могућности могле да настану када људи роботски прате препоруке
дао АИ. У будућности ће се морати предузети опрез у проактивним мерама како би се спречила злоупотреба вештачке интелигенције за развој софтвера.
Извор: хттпс://ввв.цриптополитан.цом/аи-генератед-софтваре-пацкагес-тхреатс/