Mae’r arbenigwr diogelwch Bar Lanyado wedi gwneud rhywfaint o ymchwil yn ddiweddar ar sut mae modelau AI cynhyrchiol yn cyfrannu’n anfwriadol at fygythiadau diogelwch enfawr posibl yn y byd datblygu meddalwedd. Canfu ymchwil o'r fath gan Lanyado duedd frawychus: Mae'r AI yn awgrymu pecynnau o feddalwedd dychmygol, ac mae datblygwyr, heb hyd yn oed fod yn ymwybodol, yn ei gynnwys yn eu cronfeydd cod.
Dadorchuddiwyd y Mater
Nawr, y broblem yw bod yr ateb a gynhyrchwyd yn enw ffug - rhywbeth sy'n nodweddiadol o AI. Fodd bynnag, mae'r enwau pecyn ffug hyn wedyn yn cael eu hawgrymu'n hyderus i ddatblygwyr sy'n cael anhawster rhaglennu gyda modelau AI. Yn wir, mae rhai enwau pecynnau dyfeisiedig wedi'u seilio'n rhannol ar bobl - fel Lanyado - ac aeth rhai ymlaen a'u troi'n becynnau go iawn. Mae hyn, yn ei dro, wedi arwain at gynnwys cod a allai fod yn faleisus yn ddamweiniol o fewn prosiectau meddalwedd real a chyfreithlon.
Un o'r busnesau a ddaeth o dan yr effaith hon oedd Alibaba, un o'r prif chwaraewyr yn y diwydiant technoleg. O fewn eu cyfarwyddiadau gosod ar gyfer GraphTranslator, canfu Lanyado fod Alibaba wedi cynnwys pecyn o'r enw “huggingface-cli” a oedd wedi'i ffugio. Mewn gwirionedd, roedd pecyn go iawn gyda'r un enw wedi'i gynnal ar Fynegai Pecyn Python (PyPI), ond cyfeiriodd canllaw Alibaba at yr un yr oedd Lanyado wedi'i wneud.
Profi dyfalwch
Nod ymchwil Lanyado oedd asesu hirhoedledd a defnydd posibl o'r enwau pecynnau hyn a gynhyrchir gan AI. Yn yr ystyr hwn, cynhaliodd LQuery fodelau AI gwahanol am yr heriau rhaglennu a rhwng ieithoedd yn y broses o ddeall os, i bob pwrpas, mewn ffordd systematig, yr argymhellwyd yr enwau ffug hynny. Mae'n amlwg yn yr arbrawf hwn bod risg y gallai endidau niweidiol gamddefnyddio enwau pecynnau a gynhyrchir gan AI ar gyfer dosbarthu meddalwedd maleisus.
Mae gan y canlyniadau hyn oblygiadau dwfn. Gall actorion drwg fanteisio ar yr ymddiriedaeth ddall a roddir gan ddatblygwyr yn yr argymhellion a dderbyniwyd yn y fath fodd fel y gallant ddechrau cyhoeddi pecynnau niweidiol o dan hunaniaeth ffug. Gyda'r modelau AI, mae'r risg yn cynyddu gydag argymhellion AI cyson yn cael eu gwneud ar gyfer enwau pecynnau a ddyfeisiwyd, a fyddai'n cael eu cynnwys fel malware gan ddatblygwyr anymwybodol. **Y Ffordd Ymlaen**
Felly, wrth i AI ddod yn fwy integredig â datblygiad meddalwedd, gall yr angen i drwsio'r gwendidau godi os yw'n gysylltiedig ag argymhellion a gynhyrchir gan AI. Mewn achosion o'r fath, rhaid ymarfer diwydrwydd dyladwy fel bod y pecynnau meddalwedd a awgrymir ar gyfer integreiddio yn gyfreithlon. At hynny, dylai fod yn ei le i'r platfform sy'n cynnal y storfa feddalwedd wirio a bod yn ddigon cryf fel na ddylid dosbarthu unrhyw god ansawdd maleisus.
Mae croestoriad deallusrwydd artiffisial a datblygu meddalwedd wedi datgelu bygythiad diogelwch pryderus. Hefyd, gall y model AI arwain at argymhelliad damweiniol o becynnau meddalwedd ffug, sy'n peri risg fawr i gyfanrwydd prosiectau meddalwedd. Mae'r ffaith bod Alibaba yn ei gyfarwyddiadau wedi cynnwys blwch na ddylai erioed fod wedi bod yno ond yn brawf sefydlog o sut y gallai'r posibiliadau ddigwydd mewn gwirionedd pan fydd pobl yn dilyn argymhellion yn robotig.
a roddwyd gan AI. Yn y dyfodol, bydd yn rhaid bod yn wyliadwrus mewn mesurau rhagweithiol fel y gochelir rhag camddefnyddio AI ar gyfer datblygu meddalwedd.
Ffynhonnell: https://www.cryptopolitan.com/ai-generated-software-packages-threats/