Son zamanlarda yapılan bir çalışma, üretken yapay zeka tarafından yazılan kodlarda gizli bir tehlikeyi ortaya çıkardı: modeller sıklıkla gerçekte var olmayan yazılım bileşenlerini "hayal ediyor", bu da siber saldırılar için potansiyel kapılar yaratıyor. Texas Üniversitesi'nden araştırmacılar 16 popüler yapay zeka modelindenüretilen 576,000 kod parçasını analiz etti; bunlar arasında GPT-4 ve Claude da bulunuyor. Durumların %19.7'sinde, kod sahte kütüphanelere referanslar içeriyordu — toplamda yaklaşık 440,000 geçersiz bağımlılık.
Hackerlar, yapay zekaların sıklıkla yanlışlıkla icat ettiği isimlerle paketler kaydederek ve bunları kötü amaçlı kodla doldurarak bunu istismar edebilir. Geliştiriciler, bu bileşenleri doğruluğunu kontrol etmeden yüklerse, kötü amaçlı yazılım sisteme sızar. Deney sırasında, uydurma isimlere sahip test paketleri on binlerce kez indirildi.
Önemli bulgular:
Bu teknik, Bağımlılık Karmaşası olarak bilinir ve meşru bir paketi aynı isimdeki kötü amaçlı bir paketle değiştirmeyi içerir. Örneğin, bir hacker, bir depoya Trojan içeren bir paket yayınlar. Eğer yapay zeka bunu resmi versiyon yerine önerirse ve bir geliştirici kaynağı kontrol etmeden yüklerse, sistem tehlikeye girer.
Microsoft'un yapay zekanın 2030 yılına kadar tüm kodların %95'ini yazacağını öngörmesiyle, bu bulgular bir uyanış çağrısı niteliğinde. Sinir ağları, kurguyu gerçekte güvenilir bir şekilde ayırt edene kadar, güvenlik yükü insan omuzlarında kalmaya devam ediyor.