కృత్రిమ మేధస్సు (AI)-ఆధారిత ప్రోగ్రామింగ్ సాధనాలు సాఫ్ట్వేర్ అభివృద్ధిని ఎక్కువగా ప్రభావితం చేస్తున్నాయి మరియు భద్రతా సమస్యకు దారితీస్తున్నాయి: ఉనికిలో లేని ప్యాకేజీ పేర్ల ఉత్పత్తి. వాణిజ్య మరియు ఓపెన్ సోర్స్ రెండూ అయిన AI నమూనాలు కొన్నిసార్లు ఉనికిలో లేని ప్యాకేజీలను పేర్కొనే కోడ్ను అందిస్తాయి. ఇటీవలి అధ్యయనాల ప్రకారం, ఇది వాణిజ్య నమూనాలలో 5.2% కేసులలో మరియు ఓపెన్ మోడళ్లలో 21.7% కేసులలో సంభవిస్తుంది.
సాధారణంగా ఇది ఇన్స్టాలేషన్ ఎర్రర్కు మాత్రమే దారితీస్తుంది, కానీ దాడి చేసేవారు ఈ "భ్రాంతులను" తమ సొంత ప్రయోజనాల కోసం ఉపయోగించుకోవడం ప్రారంభించారు, PyPI లేదా NPM వంటి పబ్లిక్ రిపోజిటరీలలో ఈ కల్పిత పేర్లతో హానికరమైన ప్యాకేజీలను ఉంచారు. ఈ వ్యూహం AI భ్రాంతులను సాఫ్ట్వేర్ సరఫరా గొలుసుల కోసం కొత్త దాడి వెక్టర్గా మారుస్తుంది. ఒక AI కోడ్ జనరేషన్ అసిస్టెంట్ క్రమం తప్పకుండా అదే ఉనికిలో లేని ప్యాకేజీ పేరును సూచిస్తుంటే, మరియు దాడి చేసే వ్యక్తి ఆ పేరుతో ఇప్పటికే హానికరమైన కోడ్ను అప్లోడ్ చేసి ఉంటే, డెవలపర్ అనుకోకుండా హానికరమైన ప్యాకేజీని ఇన్స్టాల్ చేయవచ్చు.
"భ్రాంతుల" పేర్లు ద్విపద నమూనాను అనుసరిస్తాయని పరిశోధకులు కనుగొన్నారు: కొన్నింటిని మళ్ళీ అడిగినప్పుడు పునరావృతం చేయబడ్డాయి, మరికొన్ని శాశ్వతంగా అదృశ్యమయ్యాయి. నిరంతరం పునరావృతమయ్యే పేర్లు దాడులకు ముఖ్యంగా ఆకర్షణీయంగా ఉంటాయి. "టైప్స్క్వాటింగ్" లాంటి ఈ వ్యూహాన్ని పైథాన్ ఫౌండేషన్కు చెందిన సేథ్ మైఖేల్ లార్సన్ "స్లాప్" (పనికిరాని AI అవుట్పుట్) అనే పదం తర్వాత "స్లాప్స్క్వాటింగ్" అని పిలిచారు.
సాకెట్ CEO ఫిరోస్ అబౌఖాదిజే డెవలపర్ కమ్యూనిటీలో "వైబ్ కోడింగ్" వైపు సాంస్కృతిక మార్పును ఎత్తి చూపారు - ఇక్కడ AI ప్రాంప్ట్లు ధృవీకరణ లేకుండా కాపీ చేయబడతాయి. ఈ ప్రవర్తన హానికరమైన ప్యాకేజీలను వ్యవస్థాపించే ప్రమాదాన్ని పెంచుతుంది. కొన్నిసార్లు డెవలపర్లు ప్యాకేజీ ఉనికిలో లేదని గమనించరు - ప్రత్యేకించి దాని పేరు ఇప్పటికే దాడి చేసేవారు తీసుకుంటే. ఈ హానికరమైన ప్యాకేజీలు తరచుగా చాలా నమ్మకంగా కనిపిస్తాయి, నకిలీ డాక్యుమెంటేషన్, నకిలీ GitHub రిపోజిటరీలు మరియు చట్టబద్ధత యొక్క రూపాన్ని సృష్టించే బ్లాగులు కూడా ఉన్నాయి.
AI వ్యవస్థలు ఒకదానికొకటి భ్రాంతులను నిర్ధారించుకోవడం వల్ల పరిస్థితి మరింత దిగజారింది. ఉదాహరణకు, గూగుల్ యొక్క జెమిని గతంలో వినియోగదారులకు హానికరమైన ప్యాకేజీలను అందించింది, వాటిని నమ్మదగినవి మరియు మద్దతు ఉన్నవిగా అభివర్ణించింది - నకిలీ README నుండి సమాచారాన్ని పునరావృతం చేస్తుంది. ముఖ్యంగా ప్రతిదీ అధికారికంగా మరియు విశ్వసనీయంగా కనిపిస్తే, తొందరలో ఉన్న డెవలపర్ ముప్పును గుర్తించకపోవచ్చు.
NPM లోని వేలాది టైపోస్క్వాటింగ్ ప్యాకేజీలను ఉపయోగించి బ్లాక్చెయిన్ ఆధారిత బోట్నెట్ను సృష్టించే పద్ధతులను డార్క్నెట్ ఫోరమ్లో పంచుకున్న "_Iain" అనే సైబర్ నేరస్థుడి కేసు ఉంది. ChatGPT ని ఉపయోగించి, అతను నిజమైన పేర్లలా కనిపించే పేర్ల సమూహాన్ని స్వయంచాలకంగా రూపొందించాడు. అతను ప్యాకేజీలను ప్రచురించడం మరియు హానికరమైన కోడ్ను సక్రియం చేయడంపై వీడియో ట్యుటోరియల్లను కూడా రూపొందిస్తాడు. సాఫ్ట్వేర్ సరఫరా గొలుసులపై దాడులను వేగవంతం చేయడానికి దాడి చేసేవారు AIని ఎలా ఉపయోగిస్తున్నారో ఇది ఒక సాధారణ ఉదాహరణ.
పైథాన్ ఫౌండేషన్ అటువంటి ముప్పులకు వ్యతిరేకంగా రక్షణలను బలోపేతం చేయడానికి కృషి చేస్తోంది. ఆల్ఫా-ఒమేగా వంటి చొరవల మద్దతుతో, చర్యలు ప్రవేశపెట్టబడ్డాయి: హానికరమైన ప్యాకేజీలను నివేదించడానికి ఒక API, ఇతర భద్రతా వ్యవస్థలతో సహకారం మరియు మెరుగైన టైపోస్క్వాటింగ్ గుర్తింపు విధానాలు. డెవలపర్లు ప్యాకేజీ పేర్లను తనిఖీ చేయమని, అవి ఉన్నాయని నిర్ధారించుకోవాలని మరియు ఇన్స్టాల్ చేసే ముందు కంటెంట్లను జాగ్రత్తగా సమీక్షించాలని ప్రోత్సహించబడ్డారు. స్థానిక రిపోజిటరీ మిర్రర్లను ఉపయోగించడం ఉత్తమ విధానం, ఇది డెవలపర్లకు ఏ ప్యాకేజీలు అందుబాటులో ఉన్నాయో నియంత్రించడానికి సంస్థలను అనుమతిస్తుంది.
మూలం: opennet.ru
