ผู้เชี่ยวชาญด้านความปลอดภัย Bar Lanyado ได้ทำการวิจัยเมื่อเร็วๆ นี้ว่าโมเดล AI สร้างสรรค์มีส่วนทำให้เกิดภัยคุกคามความปลอดภัยขนาดใหญ่ที่อาจเกิดขึ้นในโลกการพัฒนาซอฟต์แวร์โดยไม่ได้ตั้งใจได้อย่างไร การวิจัยดังกล่าวโดย Lanyado พบว่ามีแนวโน้มที่น่าตกใจ: AI แนะนำแพ็คเกจซอฟต์แวร์จินตภาพ และนักพัฒนารวมซอฟต์แวร์ดังกล่าวไว้ในฐานรหัสโดยไม่รู้ตัวด้วยซ้ำ
ประเด็นที่ถูกเปิดเผย
ตอนนี้ ปัญหาคือโซลูชันที่สร้างขึ้นนั้นเป็นชื่อสมมติ ซึ่งเป็นเรื่องปกติของ AI อย่างไรก็ตาม ชื่อแพ็คเกจสมมติเหล่านี้จะได้รับการแนะนำอย่างมั่นใจให้กับนักพัฒนาที่มีปัญหาในการเขียนโปรแกรมด้วยโมเดล AI อันที่จริง ชื่อแพ็คเกจที่ประดิษฐ์ขึ้นบางส่วนมีพื้นฐานมาจากผู้คน เช่น Lanyado และบางชื่อก็เดินหน้าและเปลี่ยนให้กลายเป็นแพ็คเกจจริง สิ่งนี้นำไปสู่การรวมโค้ดที่อาจเป็นอันตรายโดยไม่ได้ตั้งใจภายในโครงการซอฟต์แวร์จริงและถูกกฎหมาย
หนึ่งในธุรกิจที่ตกอยู่ภายใต้ผลกระทบนี้คือ Alibaba ซึ่งเป็นหนึ่งในผู้เล่นหลักในอุตสาหกรรมเทคโนโลยี ภายในคำแนะนำในการติดตั้ง GraphTranslator Lanyado พบว่า Alibaba ได้รวมแพ็คเกจที่เรียกว่า "huggingface-cli" ที่ถูกปลอมแปลงมาด้วย ในความเป็นจริง มีแพ็คเกจจริงที่มีชื่อเดียวกันซึ่งโฮสต์อยู่ใน Python Package Index (PyPI) แต่คู่มือของ Alibaba อ้างถึงแพ็คเกจที่ Lanyado สร้างขึ้น
บททดสอบความพากเพียร
การวิจัยของ Lanyado มีวัตถุประสงค์เพื่อประเมินความยืนยาวและการใช้ประโยชน์จากชื่อแพ็คเกจที่สร้างโดย AI เหล่านี้ ในแง่นี้ LQuery ดำเนินการโมเดล AI ที่แตกต่างกันเกี่ยวกับความท้าทายในการเขียนโปรแกรมและระหว่างภาษาในกระบวนการทำความเข้าใจหากมีการแนะนำชื่อสมมติเหล่านั้นอย่างเป็นระบบและมีประสิทธิภาพหรือไม่ เป็นที่ชัดเจนในการทดลองนี้ว่ามีความเสี่ยงที่หน่วยงานที่เป็นอันตรายอาจใช้ชื่อแพ็คเกจที่สร้างโดย AI ในทางที่ผิดเพื่อเผยแพร่ซอฟต์แวร์ที่เป็นอันตราย
ผลลัพธ์เหล่านี้มีผลกระทบอย่างลึกซึ้ง ผู้ไม่ประสงค์ดีอาจใช้ประโยชน์จากความไว้วางใจที่ไม่ได้รับความไว้วางใจจากนักพัฒนาในคำแนะนำที่ได้รับในลักษณะที่พวกเขาอาจเริ่มเผยแพร่แพ็คเกจที่เป็นอันตรายภายใต้การระบุตัวตนที่เป็นเท็จ ด้วยโมเดล AI ความเสี่ยงจะเพิ่มขึ้นตามคำแนะนำ AI ที่สอดคล้องกันสำหรับชื่อแพ็คเกจที่ประดิษฐ์ขึ้น ซึ่งนักพัฒนาที่ไม่รู้ตัวจะรวมเป็นมัลแวร์ **ทางข้างหน้า**
ดังนั้น เมื่อ AI ถูกรวมเข้ากับการพัฒนาซอฟต์แวร์มากขึ้น ความจำเป็นในการแก้ไขช่องโหว่อาจเกิดขึ้นได้หากเชื่อมโยงกับคำแนะนำที่สร้างโดย AI ในกรณีเช่นนี้ จะต้องปฏิบัติตามการตรวจสอบสถานะเพื่อให้แพ็คเกจซอฟต์แวร์ที่แนะนำสำหรับการรวมระบบนั้นถูกต้องตามกฎหมาย นอกจากนี้ ควรจัดให้มีแพลตฟอร์มที่โฮสต์พื้นที่เก็บข้อมูลของซอฟต์แวร์เพื่อตรวจสอบและมีความเข้มแข็งเพียงพอที่ไม่ควรเผยแพร่โค้ดคุณภาพที่เป็นอันตราย
จุดตัดกันของปัญญาประดิษฐ์และการพัฒนาซอฟต์แวร์เผยให้เห็นภัยคุกคามด้านความปลอดภัยที่เกี่ยวข้อง นอกจากนี้ โมเดล AI อาจนำไปสู่การแนะนำชุดซอฟต์แวร์ปลอมโดยไม่ได้ตั้งใจ ซึ่งก่อให้เกิดความเสี่ยงอย่างมากต่อความสมบูรณ์ของโครงการซอฟต์แวร์ ความจริงที่ว่าในคำแนะนำของเขา อาลีบาบาได้รวมกล่องที่ไม่ควรมีไว้ด้วย แต่เป็นข้อพิสูจน์ว่าความเป็นไปได้จะเกิดขึ้นได้อย่างไรเมื่อผู้คนทำตามคำแนะนำโดยหุ่นยนต์
มอบให้โดย AI ในอนาคต จะต้องดำเนินการเฝ้าระวังในมาตรการเชิงรุกเพื่อป้องกันการใช้ AI ในทางที่ผิดเพื่อการพัฒนาซอฟต์แวร์
ที่มา: https://www.cryptopolitan.com/ai-generated-software-packages-threats/