Tietoturvaasiantuntija Bar Lanyado on tehnyt äskettäin tutkimusta siitä, kuinka generatiiviset tekoälymallit vaikuttavat vahingossa valtaviin mahdollisiin tietoturvauhkiin ohjelmistokehitysmaailmassa. Tällainen Lanyadon tutkimus havaitsi hälyttävän suuntauksen: tekoäly ehdottaa kuvitteellisia ohjelmistopaketteja, ja kehittäjät sisällyttävät ne koodikantoihinsa tietämättään.
Ongelma paljastettu
Nyt ongelmana on, että luotu ratkaisu oli fiktiivinen nimi – mikä on tyypillistä tekoälylle. Näitä kuvitteellisia pakettinimiä ehdotetaan kuitenkin luottavaisesti kehittäjille, joilla on vaikeuksia ohjelmoida tekoälymalleja. Todellakin, jotkut keksityt pakettien nimet ovat osittain perustuneet ihmisiin - kuten Lanyado - ja jotkut menivät eteenpäin ja muuttivat ne oikeiksi paketeiksi. Tämä on puolestaan johtanut mahdollisesti haitallisen koodin vahingossa sisällyttämiseen todellisiin ja laillisiin ohjelmistoprojekteihin.
Yksi tämän vaikutuksen alaisista yrityksistä oli Alibaba, yksi teknologia-alan suurimmista toimijoista. GraphTranslator-asennusohjeissaan Lanyado havaitsi, että Alibaba oli sisällyttänyt paketin nimeltä "huggingface-cli", joka oli väärennetty. Itse asiassa Python Package Indexissä (PyPI) oli todellinen samanniminen paketti, mutta Alibaban opas viittasi Lanyadon tekemään pakettiin.
Testaa kestävyyttä
Lanyadon tutkimuksen tavoitteena oli arvioida näiden tekoälyn luomien pakettinimien pitkäikäisyys ja mahdollinen hyödyntäminen. Tässä mielessä LQuery toteutti erillisiä tekoälymalleja ohjelmoinnin haasteista ja kielten välillä ymmärtääkseen, jos näitä kuvitteellisia nimiä suositeltiin tehokkaasti, systemaattisesti. Tässä kokeilussa on selvää, että on olemassa riski, että haitalliset tahot voivat väärinkäyttää tekoälyn luomia pakettinimiä haittaohjelmien jakelussa.
Näillä tuloksilla on syvällinen merkitys. Huonot toimijat voivat hyödyntää kehittäjien sokeaa luottamusta saatuihin suosituksiin siten, että he voivat alkaa julkaista haitallisia paketteja väärillä henkilöllisyyksillä. Tekoälymalleja käytettäessä riski kasvaa, kun johdonmukaisia tekoälysuosituksia annetaan keksityille pakettinimille, jotka tietämättömät kehittäjät sisällyttäisivät haittaohjelmiin. **Tie eteenpäin**
Siksi, kun tekoäly integroituu edelleen ohjelmistokehitykseen, haavoittuvuuksien korjaamisen tarve saattaa syntyä, jos se liittyy tekoälyn luomiin suosituksiin. Tällaisissa tapauksissa on noudatettava asianmukaista huolellisuutta, jotta integroitavat ohjelmistopaketit ovat laillisia. Lisäksi ohjelmistojen arkiston isännöivän alustan pitäisi olla olemassa, jotta se voi varmistaa ja olla riittävän vahva, ettei mitään pahantahtoista koodia tulisi levittää.
Tekoälyn ja ohjelmistokehityksen risteyskohta on paljastanut huolestuttavan turvallisuusuhan. Tekoälymalli voi myös johtaa väärennettyjen ohjelmistopakettien vahingossa suosittelemiseen, mikä muodostaa suuren riskin ohjelmistoprojektien eheydelle. Se, että Alibaba sisällytti ohjeisiinsa laatikon, jonka ei olisi koskaan pitänyt olla siellä, on vain todiste siitä, kuinka mahdollisuudet voisivat syntyä, kun ihmiset noudattavat robottiohjeita
AI:n antama. Jatkossa on oltava valppaana ennakoivissa toimissa, jotta tekoälyn väärinkäytöltä ohjelmistokehityksessä vältytään.
Lähde: https://www.cryptopolitan.com/ai-generated-software-packages-threats/