TM_432

8 23|1|2024 #432 Google και Microsoft στηρίζουν Rust Το 2016, η εταιρεία Fortanix πήρε την απόφαση να δεσμευ- τεί για ένα έτος στη γλώσσα προγραμματισμού Rust για να επωφεληθεί από τα πλεονεκτή- ματα της ασφάλειας και τις επι- δόσεις της. Οκτώ χρόνια αργότερα, η δέ- σμευση της Fortanix στη Rust έχει αποδειχθεί επιτυχημένη. Η εταιρεία υποστηρίζει πλέον τις επεκτάσεις Intel Software Guard Extensions (SGX), οι οποίες επι- τρέπουν τη χρήση ασφαλών enclaves για τα δεδομένα των χρηστών και επωφελείται από την ικανότητα του Rust να απο- φεύγει ορισμένες κατηγορίες ευπαθειών, ιδίως θέματα ασφά- λειας μνήμης, λέει ο Jethro Beekman, Αντιπρόεδρος Τεχνολογί- ας και CISO στην εταιρεία ασφάλειας δεδομένων. Στο πλαίσιο μιας προσπάθειας για την εξάλειψη κατηγοριών σφαλμάτων, η Microsoft ξανα- γράφει τμήματα του πυρήνα χρη- σιμοποιώντας το Rust, δήλωσε ο David Weston, Αντιπρόεδρος του τμήματος ασφάλειας επιχει- ρήσεων και λειτουργικών συστη- μάτων της Microsoft. Η εταιρεία δημιούργησε το DWriteCore στο Rust για να μετατρέψει την ανά- λυση γραμματοσειρών σε ένα χαρακτηριστικό ασφάλειας μνή- μης και επί του παρόντος εργά- ζεται για να πειραματιστεί με τη συγγραφή τμημάτων της διεπα- φής του προγράμματος οδήγη- σης γραφικών (GDI) στο Rust. Η Google είναι επίσης μεγάλος υποστηρικτής του Rust. Η εταιρεία αποδίδει τη μείωση του ποσοστού των ευπαθειών ασφάλειας μνήμης στο Android στη μετάβαση στο Rust, την Kotlin (μια λειτουργική γλώσσα προγραμματισμού) και τη Java. Πώς το ChatGPT διαδίδει κακόβουλα λογισμικά Οι επιτιθέμενοι φαίνεται πως μπο- ρούν να εκμεταλλευτούν την τάση του ChatGPT να διαδίδει ορισμένες φορές ψευδείς πληροφορίες για να διαδώσουν πακέτα κακόβουλου κώδικα, σύμφωνα με ερευνητές. Αυτό αποτελεί σημαντικό κίνδυνο για την αλυσίδα εφοδιασμού λογισμικού, καθώς μπορεί να επιτρέψει σε κακόβουλο κώδικα και Trojans να ει- σχωρήσουν σε νόμιμες εφαρμογές και αποθετήρια κώδικα, όπως τα npm, PyPI, GitHub και άλλα. Αξιοποιώντας τις λεγόμενες «ψευδαι- σθήσεις πακέτων AI», οι φορείς απειλών μπορούν να δημιουργήσουν πακέτα κώ- δικα που συνιστώνται από το ChatGPT, αλλά είναι κακόβουλα, τα οποία ένας προγραμματιστής θα μπορούσε να κα- τεβάσει κατά λάθος όταν χρησιμοποιεί το chatbot, ενσωματώνοντάς τα σε λο- γισμικό που στη συνέχεια χρησιμοποι- είται ευρέως, αποκάλυψαν ερευνητές της ερευνητικής ομάδας Voyager18 της Vulcan Cyber. Στην τεχνητή νοημοσύνη, η «ψευδαί- σθηση» είναι μια αληθοφανής απάντη- ση της τεχνητής νοημοσύνης που είναι ανεπαρκής, προκατειλημμένη ή εντελώς αναληθής. Αυτές προκύπτουν επειδή το ChatGPT απαντά σε ερωτήσεις που τους τίθενται με βάση τις πηγές, τους συνδέ- σμους, τα ιστολόγια και τα στατιστικά στοιχεία που έχουν στη διάθεσή τους στην αχανή έκταση του διαδικτύου, τα οποία δεν αποτελούν πάντα τα πιο αξιό- πιστα δεδομένα εκπαίδευσης. Λόγω αυτής της εκτεταμένης εκπαίδευ- σης και της έκθεσης σε τεράστιες ποσό- τητες κειμενικών δεδομένων, τα LLMs, όπως το ChatGPT, μπορούν να παράγουν «αληθοφανείς, αλλά φανταστικές πλη- ροφορίες, προεκτείνοντας πέρα από την εκπαίδευσή τους και ενδεχομένως πα- ράγοντας απαντήσεις που δεν είναι απα- ραίτητα ακριβείς», έγραψε ο επικεφαλής ερευνητής Bar Lanyado της Voyager18 στην ανάρτηση σε ένα blog post. Οι επιτιθέμενοι θα μπορούσαν να ζη- τήσουν από το ChatGPT βοήθεια κωδι- κοποίησης για κοινές εργασίες- και το ChatGPT θα μπορούσε να προσφέρει μια σύσταση για ένα μη δημοσιευμένο ή ανύ- παρκτο πακέτο. Οι επιτιθέμενοι μπορούν στη συνέχεια να δημοσιεύσουν τη δική τους κακόβουλη έκδοση του προτεινό- μενου πακέτου, δήλωσαν οι ερευνητές, και να περιμένουν από το ChatGPT να δώσει στους νόμιμους προγραμματιστές την ίδια σύσταση γι' αυτό. Εάν το ChatGPT κατασκευάζει πακέτα κώδικα, οι επιτιθέμενοι μπορούν να τα χρησιμοποιήσουν για να διαδώσουν κακόβουλα λογισμικά, χωρίς να χρη- σιμοποιούν γνωστές τεχνικές όπως το typosquatting ή το masquerading, δη- μιουργώντας ένα πακέτο που ένας προ- γραμματιστής μπορεί να χρησιμοποι- ήσει, εφόσον το ChatGPT το συστήσει, κατέληξαν οι ερευνητές. Της Ελένης Μιχαηλίδου Της Ελένης Μιχαηλίδου