AI fel fector ymosodiad newydd ar ddatblygwyr meddalwedd

Mae offer rhaglennu sy'n galluogi deallusrwydd artiffisial (AI) yn cael effaith gynyddol ar ddatblygiad meddalwedd ac yn arwain at fater diogelwch: cynhyrchu enwau pecynnau nad ydynt yn bodoli. Mae modelau AI, yn fasnachol ac yn ffynhonnell agored, weithiau'n cynnig cod sy'n nodi pecynnau nad ydynt yn bodoli. Yn Γ΄l astudiaethau diweddar, mae hyn yn digwydd mewn 5.2% o achosion mewn modelau masnachol a 21.7% mewn modelau agored.

Fel arfer mae hyn yn arwain at wall gosod yn unig, ond mae ymosodwyr wedi dechrau ecsbloetio'r "rhithweledigaethau" hyn at eu dibenion eu hunain, gan osod pecynnau maleisus o dan yr enwau ffug hyn mewn cadwrfeydd cyhoeddus fel PyPI neu NPM. Mae'r strategaeth hon yn troi rhithwelediadau AI yn fector ymosodiad newydd ar gyfer cadwyni cyflenwi meddalwedd. Os yw cynorthwyydd cynhyrchu cod AI yn awgrymu'r un enw pecyn nad yw'n bodoli yn rheolaidd, ac mae ymosodwr eisoes wedi uwchlwytho cod maleisus o dan yr enw hwnnw, gall y datblygwr osod pecyn maleisus yn anfwriadol.

Canfu'r ymchwilwyr fod yr enwau "rhithweledig" yn dilyn patrwm deufoddol: ailadroddwyd rhai pan ofynnwyd iddynt eto, tra bod eraill yn diflannu am byth. Mae enwau sy'n cael eu hailadrodd yn gyson yn arbennig o ddeniadol i ymosodiadau. Cafodd y strategaeth hon, sy'n debyg i "typsquatting", ei galw'n "slopsquatting" gan Seth Michael Larson o Sefydliad Python, ar Γ΄l y gair "slop" (allbwn AI diwerth).


AI fel fector ymosodiad newydd ar ddatblygwyr meddalwedd

Mae Prif Swyddog Gweithredol Socket, Feross Aboukhadijeh, yn tynnu sylw at newid diwylliannol yn y gymuned ddatblygwyr tuag at β€œgodio naws” - lle mae anogwyr AI yn cael eu copΓ―o heb eu dilysu. Mae'r ymddygiad hwn yn cynyddu'r risg o osod pecynnau maleisus. Weithiau nid yw datblygwyr hyd yn oed yn sylwi nad yw pecyn yn bodoli - yn enwedig os yw ei enw eisoes yn cael ei gymryd gan ymosodwr. Mae'r pecynnau maleisus hyn yn aml yn edrych yn eithaf argyhoeddiadol, gyda dogfennaeth ffug, ystorfeydd GitHub ffug, a hyd yn oed blogiau sy'n creu ymddangosiad cyfreithlondeb.

Gwaethygir y sefyllfa gan y ffaith bod systemau AI yn cadarnhau rhithweledigaethau ei gilydd. Er enghraifft, mae Google's Gemini wedi cynnig pecynnau maleisus i ddefnyddwyr o'r blaen, gan eu disgrifio fel rhai dibynadwy a chefnogol - yn syml yn ailadrodd gwybodaeth o README ffug. Efallai na fydd datblygwr ar frys yn cydnabod y bygythiad, yn enwedig os yw popeth yn edrych yn eithaf swyddogol a chredadwy.

Mae yna achos o seiberdroseddwr o'r enw "_Iain" a rannodd ddulliau o greu botnet sy'n seiliedig ar blockchain gan ddefnyddio miloedd o becynnau typosquatting yn NPM ar fforwm darknet. Gan ddefnyddio ChatGPT, cynhyrchodd griw o enwau yn awtomatig a oedd yn edrych fel rhai go iawn. Mae hefyd yn cynhyrchu tiwtorialau fideo ar gyhoeddi pecynnau ac actifadu cod maleisus. Mae hon yn enghraifft nodweddiadol o sut mae ymosodwyr yn defnyddio AI i gyflymu ymosodiadau ar gadwyni cyflenwi meddalwedd.

Mae Sefydliad Python yn gweithio i gryfhau amddiffynfeydd yn erbyn bygythiadau o'r fath. Diolch i gefnogaeth gan fentrau fel Alpha-Omega, mae mesurau wedi'u cyflwyno: API ar gyfer adrodd am becynnau maleisus, cydweithredu Γ’ systemau diogelwch eraill, a gwell mecanweithiau canfod typosquatting. Anogir datblygwyr i wirio enwau pecynnau, sicrhau eu bod yn bodoli, ac adolygu'r cynnwys yn ofalus cyn gosod. Y dull gorau yw defnyddio drychau cadwrfeydd lleol, sy'n galluogi sefydliadau i reoli pa becynnau sydd ar gael i ddatblygwyr.

Ffynhonnell: opennet.ru

Prynu gwesteio dibynadwy ar gyfer gwefannau sydd Γ’ diogelwch DDoS, gweinyddwyr VPS VDS πŸ”₯ Prynu cynnal gwefannau dibynadwy gyda diogelwch DDoS, gweinyddion VPS VDS | ProHoster