Codul computerizat generat de AI este legat de referiri la bibliotecile terțe inexistente, creând o oportunitate de aur pentru atacuri cu lanț de aprovizionare care să otrăvească programe legitime cu pachete rău intenționate care pot fura date, plante din spate și pot efectua alte acțiuni nefaste, arată cercetările nou publicate.
Studiul, care a utilizat 16 dintre cele mai utilizate modele de limbaj mare pentru a genera 576.000 de probe de cod, a constatat că 440.000 din dependențele de pachete pe care le conțineau erau „halucinate”, ceea ce înseamnă că erau inexistente. Modelele open source au halucinat cel mai mult, 21 la sută dintre dependențele care se leagă de bibliotecile inexistente. O dependență este o componentă esențială de cod pe care o bucată de cod separată trebuie să funcționeze corect. Dependențele salvează dezvoltatorii dificultatea codului de rescriere și sunt o parte esențială a lanțului de aprovizionare software modern.
Flashback -uri de halucinație a pachetelor
Aceste dependențe inexistente reprezintă o amenințare pentru lanțul de aprovizionare software prin agravarea așa-numitelor atacuri de confuzie dependente. Aceste atacuri funcționează prin determinarea unui pachet software pentru a accesa dependența de componentă greșită, de exemplu, publicând un pachet rău intenționat și dându -i același nume ca cel legitim, dar cu o ștampilă de versiune ulterioară. Software -ul care depinde de pachet va alege, în unele cazuri, versiunea rău intenționată, mai degrabă decât cea legitimă, deoarece primul pare să fie mai recent.
Comentarii recente