Ars Technica

Código gerado por IA poderia ser um desastre para a cadeia de suprimentos de software. Aqui está o motivo.

A produção de código pelo LLM pode nos tornar muito mais vulneráveis a ataques de cadeia de suprimentos.

  • 440.000 das dependências de pacotes gerados por IA eram inexistentes
  • Os ataques de confusão de dependência podem infectar toda a cadeia de suprimentos de software
  • 95% do código será AI-generated nos próximos cinco anos
  • É crucial que os desenvolvedores adotem medidas de segurança contra vulnerabilidades de código gerado por IA

    • AI-produced code could make the software supply chain a disaster

    Um novo estudo revelou que o código gerado por inteligência artificial está repleto de referências a bibliotecas de terceiros inexistentes, o que cria uma oportunidade de ouro para ataques à cadeia de suprimentos. Isso significa que programas legítimos podem ser contaminados com pacotes maliciosos que roubam dados, instalam backdoors e executam outras ações nefastas.

    O estudo utilizou 16 dos modelos de linguagem mais utilizados para gerar 576.000 amostras de código, encontrando que 440.000 das dependências de pacotes que continham eram “alucinadas”, ou seja, não existiam. Esse fenômeno representa uma ameaça significativa para a cadeia de suprimentos de software, aumentando o risco de ataques de confusão de dependência.

    Os atacantes podem explorar essas dependências inexistentes para publicar pacotes maliciosos e enganar os desenvolvedores, levando à execução de códigos de malware nos sistemas dos usuários. Esse tipo de ataque, conhecido como confusão de pacotes, foi demonstrado pela primeira vez em 2021 e pode impactar grandes empresas, como Apple, Microsoft e Tesla.

    O estudo também revelou disparidades entre os modelos de LLM e as linguagens de programação, com os modelos de código aberto apresentando uma taxa maior de dependências alucinadas do que os modelos comerciais. O código escrito em Python teve menos alucinações do que o código JavaScript, por exemplo.

    Com estimativas indicando que 95% do código será gerado por inteligência artificial nos próximos cinco anos, é crucial que os desenvolvedores estejam atentos a essas vulnerabilidades e adotem medidas de segurança adequadas.

    Não podemos ignorar o potencial impacto dessas fragilidades no código gerado por IA, e as empresas devem investir em avaliações mais rigorosas de segurança para proteger suas cadeias de suprimentos de software.

    Artigo Original

    Related Posts