In het kort:
Een grootschalig onderzoek naar AI-gegenereerde code legt een zorgwekkend veiligheidsrisico bloot. Van de 576.000 onderzochte codevoorbeelden bevatten er 440.000 verwijzingen naar niet-bestaande softwarebibliotheken.
- Open source AI-modellen maken de meeste fouten, met 21 procent valse verwijzingen
- Het probleem maakt software kwetsbaar voor zogenaamde 'dependency confusion' aanvallen
- Grote bedrijven zoals Apple, Microsoft en Tesla zijn potentieel kwetsbaar voor deze aanvallen
Het grote plaatje:
Deze kwetsbaarheid opent de deur voor kwaadwillenden om malafide code te verspreiden via de software supply chain. Aanvallers kunnen nepbibliotheken publiceren met dezelfde naam als de niet-bestaande verwijzingen.
- Hackers kunnen malware verstoppen in nepbibliotheken die lijken op de door AI gesuggereerde namen
- Software kiest soms automatisch voor nieuwere versies, ook al zijn deze kwaadaardig
- Deze aanvalsmethode werd al in 2021 succesvol gedemonstreerd bij grote techbedrijven
De onderste regel:
Joseph Spracklen, hoofdonderzoeker aan de University of Texas, waarschuwt dat ontwikkelaars die blindelings vertrouwen op AI-gegenereerde code hun systemen kwetsbaar maken voor aanvallen die data kunnen stelen of backdoors kunnen installeren.
