O código da criação da IA ​​para a cadeia de suprimentos de software pode levar a uma catástrofe. Por que está aqui

Na IA, o engano ocorre quando um LLM supera os produtos que são, de fato, falsos, inconscientes ou completamente irrelevantes para o trabalho que foi atribuído. As alucinações têm sido corrompidas há muito tempo porque degradam sua utilidade e verdade e tem sido providentemente irritantemente destacado para prever e remediar. UM Papel O 2025 será apresentado no Simpósio de Segurança da USNICS, chamando essa tendência de “pacote holocare”.

Para o estudo, os pesquisadores realizaram 30 testes, 16 na linguagem de programação e 14 em JavaScript, que produziram 19.200 amostras de código em um total de 576.000 amostras de código. Das 2,23 milhões de referências de pacotes incluídas nessas amostras, 440.445, ou 19,7 %, apontaram para os pacotes que não estavam presentes. No engano desses pacote 440.445, o pacote foi único em 205.474.

Uma das coisas que torna o pacote potencialmente útil nos ataques da cadeia de suprimentos é que 43 % do engano do pacote foi repetido em 10 perguntas. Os pesquisadores escreveram: “Além disso”, 58 % das vezes, uma repetição de um pacote fraudulento mais de uma vez em 10 repetições, o que mostra que a maioria não é meramente erros aleatórios, mas é um evento repetitivo que mantém várias repetições. A razão para isso é tirar proveito dos princípios hallic.

Em outras palavras, muitos decepções de pacotes não são randomizados uma vez. De fato, nomes específicos de pacotes não existentes são repetidos. Os invasores podem identificar o padrão identificando quaisquer pacotes existentes repetidamente. Os atacantes publicarão malware usando esses nomes e aguardam um grande número de desenvolvedores para acessá -los.

Este estudo expôs a disparidade em LLMs e linguagens de programação, que criaram o maior engano do pacote. A porcentagem média de fraudes feitas pela Open Source LLMS, como Kodilama e Dippic, foi de cerca de 22 %, enquanto os modelos comerciais são ligeiramente superiores a 5 %. O código escrito no Azgar resultou em um engano mais baixo do que o código JavaScript, que possui uma média de cerca de 16 %, enquanto o JavaScript é superior a 21 %. Questionado sobre qual é a diferença, a primavera escreveu: