Yeni Siber Güvenlik Tehdidi: Generative Code AI Tarafından 'Slopsquatting'

Siber güvenlik uzmanları, kod üretimi için yapay zeka (YZ) araçlarının kullanımının artmasından kaynaklanan ve ' slopsquatting' olarak adlandırılan, yazılım tedarik zincirine yönelik endişe verici yeni bir tehdit tespit etti. Bu risk, yapay zekanın gerçekte var olmayan yazılım bileşenlerini "halüsinasyon görmesi" veya icat etmesi durumunda ortaya çıkar.

Bu olgu, bir kod üreten yapay zekanın, bir geliştirici tarafından sorgulandığında, makul isimlere sahip ancak aslında herhangi bir meşru deponun parçası olmayan yazılım paketleri veya kütüphaneleri önermesiyle ortaya çıkıyor.

ABD'li araştırmacılar, bazı yapay zeka araçlarının önerdiği yazılım paketlerinin yaklaşık beşte birinin tamamen uydurma olduğunu tespit etti.

Bu durum kötü niyetli aktörler için bir fırsat penceresi yaratıyor. Bilgisayar korsanları bu "saçma" paket önerilerini tespit edebilir ve tam olarak bu adları taşıyan sahte sürümler oluşturabilir, içlerine kötü amaçlı kod yerleştirebilir ve bunları yazılım depolarında yayınlayabilir.

Yapay zekanın önerisine güvenen (özellikle de adı meşru bir isme benziyorsa veya tekrar tekrar görünüyorsa) şüphelenmeyen bir geliştirici, bu kötü amaçlı paketi istemeden indirip kendi projesine entegre edebilir, böylece nihai yazılımın güvenliğini tehlikeye atabilir ve kullanıcıları potansiyel olarak risklere maruz bırakabilir.

Bu kötü amaçlı paketlerin henüz depolarında etkin bir örneği bulunmamış olsa da araştırma, geliştiricilerin, otomatik olarak oluşturulan kodlara körü körüne güvenmekten kaçınarak, kullanmadan önce tüm yapay zeka tarafından önerilen yazılım bileşenlerini dikkatlice doğrulamasının ve taramasının kritik önemini vurguluyor. Bu risk, yapay zekanın tıbbi bir tamamlayıcı olmasından pazarlama veya reklam oluşturmada kullanılmasına kadar çeşitli alanlardaki rolüne ilişkin tartışmaları da beraberinde getiriyor.

Bizi X La Verdad Noticias profilimizden takip edin ve günün en önemli haberlerinden haberdar olun.