Перейти в телеграм, чтобы получить результаты теста
Главное:
- Специалисты по кибербезопасности выявили новый метод атаки под названием «слэпсквоттинг».
- Около 20% сгенерированного ИИ кода содержат ссылки на несуществующие библиотеки.
- Для защиты рекомендованы меры по проверке и тестированию кода, сгенерированного ИИ.
Что такое слэпсквоттинг?
Слэпсквоттинг — это новый вид атаки, обнаруженный в сфере кибербезопасности, который был предложен известным исследователем Сетом Ларсоном. Эта техника заключается в публикации вредоносных программных пакетов под вымышленными именами. Такие имена зачастую генерируются современными системами ИИ, включая ChatGPT и другие языковые модели. Это является тревожным сигналом для разработчиков, которые полагаются на автоматизированные инструменты для написания кода, не догадываясь о том, что могут использовать ложные библиотеки.
Исследование, проведенное в марте 2025 года, демонстрирует, что среди 576,000 проанализированных фрагментов кода на Python и JavaScript около 20% содержали ссылки на несуществующие пакеты. Этим фактом подчеркивается необходимость повышенного внимания к безопасности в процессе разработки.
Риски использования сгенерированного кода
Как показывает практика, даже такие продвинутые инструменты как ChatGPT-4 имеют небольшой, но значительный процент «галлюцинаций», создавая несуществующие библиотеки в 5% случаев. Более того, открытые модели, такие как DeepSeek и WizardCoder, выдают ложные пакеты еще чаще. Эти вымышленные названия библиотек могут быть достаточно правдоподобными, что требует от разработчиков особенно внимательного подхода.
Статистические данные показывают, что 58% вымышленных пакетов часто используются повторно в похожих запросах, что делает их особенно уязвимыми для атак. На практике это означает, что злоумышленники могут зарегистрировать такие названия в распространенных репозиториях, таких как PyPI или npm, и в итоге опубликовать под ними вредоносный код.
Как защититься от угроз слэпсквоттинга
Для защиты от этих угроз эксперты рекомендуют ряд мер. Прежде всего, никогда не следует использовать названия пакетов без предварительной проверки существования. Также следует явно указывать номера версий и использовать механизмы проверки хэшей для обеспечения целостности пакетов. Кроме того, тестирование кода, сгенерированного ИИ, в изолированных средах является важной частью процесса разработки.
Снижение уровня галлюцинаций можно достичь путём корректировки параметров генерации, таких как «температура». Это важное значение контролирует случайность результатов, и его оптимизация может помочь снизить вероятность появления несуществующих библиотек.
В эпоху активного использования ИИ в программировании, вопросы кибербезопасности становятся важнее, как никогда. Разработчики должны быть осведомлены о рисках и помнить, что решение принимать всего лишь одно неверное письмо, как в случае со слэпсквоттингом, может привести к серьезным последствиям для безопасности их проектов.
Добавить комментарий