Güvenlik uzmanı Bar Lanyado, son zamanlarda üretken yapay zeka modellerinin yazılım geliştirme dünyasında büyük potansiyel güvenlik tehditlerine farkında olmadan nasıl katkıda bulunduğu konusunda bazı araştırmalar yaptı. Lanyado'nun bu araştırması endişe verici bir trend buldu: Yapay zeka, hayali yazılım paketlerini öneriyor ve geliştiriciler, farkına bile varmadan, bunu kod tabanlarına dahil ediyor.
Sorun Açıklandı
Şimdi sorun şu ki, üretilen çözüm yapay zekaya özgü bir şey olan hayali bir isimdi. Ancak bu hayali paket adları daha sonra yapay zeka modelleriyle programlamada zorluk yaşayan geliştiricilere güvenle öneriliyor. Gerçekten de, Lanyado gibi icat edilen bazı paket adları kısmen insanlara dayanıyordu ve bazıları da daha da ileri giderek bunları gerçek paketlere dönüştürdü. Bu da potansiyel olarak kötü amaçlı kodların kazara gerçek ve meşru yazılım projelerine dahil edilmesine yol açtı.
Bu etkiden etkilenen işletmelerden biri de teknoloji sektörünün önemli oyuncularından biri olan Alibaba oldu. Lanyado, GraphTranslator kurulum talimatlarında Alibaba'nın sahte "huggingface-cli" adlı bir paket içerdiğini keşfetti. Aslında Python Paket Dizininde (PyPI) aynı adı taşıyan gerçek bir paket vardı, ancak Alibaba'nın kılavuzu Lanyado'nun hazırladığı pakete atıfta bulunuyordu.
Kalıcılığın test edilmesi
Lanyado'nun araştırması, yapay zeka tarafından oluşturulan bu paket adlarının ömrünü ve potansiyel kullanımını değerlendirmeyi amaçlıyordu. Bu anlamda LQuery, bu hayali isimlerin etkili ve sistematik bir şekilde tavsiye edilip edilmediğini anlama sürecinde programlama zorlukları ve diller arasında farklı yapay zeka modelleri gerçekleştirdi. Bu deneyde, zararlı varlıkların, kötü amaçlı yazılım dağıtımı için yapay zeka tarafından oluşturulan paket adlarını kötüye kullanma riskinin olduğu açıktır.
Bu sonuçların derin etkileri var. Kötü aktörler, geliştiricilerin alınan önerilere olan körü körüne güvenini, sahte kimlikler altında zararlı paketler yayınlamaya başlayacak şekilde istismar edebilir. Yapay zeka modellerinde, farkında olmayan geliştiriciler tarafından kötü amaçlı yazılım olarak dahil edilecek icat edilen paket adları için tutarlı yapay zeka önerilerinin yapılmasıyla risk artıyor. **İleriye Giden Yol**
Bu nedenle yapay zeka, yazılımın geliştirilmesiyle daha da entegre hale geldikçe, yapay zeka tarafından oluşturulan önerilerle bağlantılı olması durumunda güvenlik açıklarının düzeltilmesi ihtiyacı ortaya çıkabilir. Bu gibi durumlarda, entegrasyon için önerilen yazılım paketlerinin meşru olması için durum tespiti yapılmalıdır. Ayrıca, yazılım deposunu barındıran platformun doğrulanması ve kötü niyetli hiçbir kodun dağıtılmamasını sağlayacak kadar güçlü olması gerekir.
Yapay zeka ve yazılım geliştirmenin kesişimi, endişe verici bir güvenlik tehdidini ortaya çıkardı. Ayrıca yapay zeka modeli, yazılım projelerinin bütünlüğü açısından büyük bir risk oluşturan sahte yazılım paketlerinin yanlışlıkla önerilmesine yol açabilir. Alibaba'nın talimatlarına asla orada olmaması gereken bir kutu eklemesi, insanların tavsiyeleri robotik olarak takip etmesi durumunda olasılıkların gerçekte nasıl ortaya çıkabileceğinin sağlam bir kanıtıdır.
AI tarafından verildi. Gelecekte, yapay zekanın yazılım geliştirme amacıyla kötüye kullanılmasına karşı korunmak için proaktif önlemler konusunda dikkatli olunması gerekecektir.
Kaynak: https://www.cryptopolitan.com/ai-geneated-software-packages-threats/