Skip to main content

ΕΓΓΡΑΦΗ ΣΤΟ NEWSLETTER

23 January 2024 06:51

Πώς το ChatGPT διαδίδει κακόβουλα λογισμικά

Της Ελένης Μιχαηλίδου

Οι επιτιθέμενοι φαίνεται πως μπορούν να εκμεταλλευτούν την τάση του ChatGPT να διαδίδει ορισμένες φορές ψευδείς πληροφορίες για να διαδώσουν πακέτα κακόβουλου κώδικα, σύμφωνα με ερευνητές. Αυτό αποτελεί σημαντικό κίνδυνο για την αλυσίδα εφοδιασμού λογισμικού, καθώς μπορεί να επιτρέψει σε κακόβουλο κώδικα και Trojans να εισχωρήσουν σε νόμιμες εφαρμογές και αποθετήρια κώδικα, όπως τα npm, PyPI, GitHub και άλλα.

Αξιοποιώντας τις λεγόμενες «ψευδαισθήσεις πακέτων AI», οι φορείς απειλών μπορούν να δημιουργήσουν πακέτα κώδικα που συνιστώνται από το ChatGPT, αλλά είναι κακόβουλα, τα οποία ένας προγραμματιστής θα μπορούσε να κατεβάσει κατά λάθος όταν χρησιμοποιεί το chatbot, ενσωματώνοντάς τα σε λογισμικό που στη συνέχεια χρησιμοποιείται ευρέως, αποκάλυψαν ερευνητές της ερευνητικής ομάδας Voyager18 της Vulcan Cyber.

Στην τεχνητή νοημοσύνη, η «ψευδαίσθηση» είναι μια αληθοφανής απάντηση της τεχνητής νοημοσύνης που είναι ανεπαρκής, προκατειλημμένη ή εντελώς αναληθής. Αυτές προκύπτουν επειδή το ChatGPT απαντά σε ερωτήσεις που τους τίθενται με βάση τις πηγές, τους συνδέσμους, τα ιστολόγια και τα στατιστικά στοιχεία που έχουν στη διάθεσή τους στην αχανή έκταση του διαδικτύου, τα οποία δεν αποτελούν πάντα τα πιο αξιόπιστα δεδομένα εκπαίδευσης.

Λόγω αυτής της εκτεταμένης εκπαίδευσης και της έκθεσης σε τεράστιες ποσότητες κειμενικών δεδομένων, τα LLMs, όπως το ChatGPT, μπορούν να παράγουν «αληθοφανείς, αλλά φανταστικές πληροφορίες, προεκτείνοντας πέρα από την εκπαίδευσή τους και ενδεχομένως παράγοντας απαντήσεις που δεν είναι απαραίτητα ακριβείς», έγραψε ο επικεφαλής ερευνητής Bar Lanyado της Voyager18 στην ανάρτηση σε ένα blog post.

Οι επιτιθέμενοι θα μπορούσαν να ζητήσουν από το ChatGPT βοήθεια κωδικοποίησης για κοινές εργασίες- και το ChatGPT θα μπορούσε να προσφέρει μια σύσταση για ένα μη δημοσιευμένο ή ανύπαρκτο πακέτο. Οι επιτιθέμενοι μπορούν στη συνέχεια να δημοσιεύσουν τη δική τους κακόβουλη έκδοση του προτεινόμενου πακέτου, δήλωσαν οι ερευνητές, και να περιμένουν από το ChatGPT να δώσει στους νόμιμους προγραμματιστές την ίδια σύσταση γι’ αυτό.

Εάν το ChatGPT κατασκευάζει πακέτα κώδικα, οι επιτιθέμενοι μπορούν να τα χρησιμοποιήσουν για να διαδώσουν κακόβουλα λογισμικά, χωρίς να χρησιμοποιούν γνωστές τεχνικές όπως το typosquatting ή το masquerading, δημιουργώντας ένα  πακέτο που ένας προγραμματιστής μπορεί να χρησιμοποιήσει, εφόσον το ChatGPT το συστήσει, κατέληξαν οι ερευνητές.

Τεύχος 342

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ