Zehirli Yapay Zeka Kodlama Yardımcısı Araçları Uygulama Hack Saldırısını Açıyor


Yapay Zeka (Yapay Zeka), geliştiricilerin verimliliğini artırmaya yardımcı olan ChatGPT ve GitHub Copilot gibi çeşitli gelişmiş yapay zeka araçlarıyla yazılım mühendisliğinde önemli ölçüde devrim yarattı.

Bunun yanı sıra son zamanlarda iki tür yapay zeka destekli kodlama asistanı aracı ortaya çıktı ve burada bunlardan bahsetmiştik: –

  • KOD TAMAMLAMA Aracı
  • KOD OLUŞTURMA Aracı

Aşağıdaki üniversitelerden siber güvenlik araştırmacıları Sanghak Oh, Kiho Lee, Seonhye Park, Doowon Kim, Hyoungshick Kim yakın zamanda zehirli AI kodlama asistanı araçlarının uygulamayı hack saldırısına açtığını tespit etti: –

  • Elektrik ve Bilgisayar Mühendisliği Bölümü, Sungkyunkwan Üniversitesi, Kore Cumhuriyeti
  • Elektrik Mühendisliği ve Bilgisayar Bilimleri Bölümü, Tennessee Üniversitesi, ABD

Zehirli Yapay Zeka Kodlama Asistanı

Yapay zeka kodlama asistanları yazılım mühendisliğini dönüştürüyor ancak zehirli saldırılara karşı savunmasızlar. Saldırganlar, eğitim verilerine kötü amaçlı kod parçacıkları enjekte ederek güvenli olmayan önerilere yol açar.

Araştırmacıların 238 katılımcı ve 30 profesyonel geliştiriciyle yaptığı çalışmanın ortaya koyduğu gibi, bu durum gerçek dünya risklerini ortaya çıkarıyor. Anket, aracın yaygın olarak benimsendiğini gösteriyor ancak geliştiriciler zehirlenme risklerini hafife alıyor olabilir.

Laboratuvar içi çalışmalar, zehirli araçların geliştiricileri güvenli olmayan kod ekleme konusunda etkileyebileceğini doğrulayarak, yapay zeka destekli kodlama ortamında eğitimin ve gelişmiş kodlama uygulamalarının aciliyetini vurguluyor.

Kod ve model zehirlenmesi saldırıları (Kaynak - Arxiv)
Kod ve model zehirlenmesi saldırıları (Kaynak – Arxiv)

Saldırganlar, kod önerisi derin öğrenme modellerine yönelik genel arka kapı zehirleme saldırıları yoluyla geliştiricileri aldatmayı amaçlamaktadır. Bu yöntem, genel performansı düşürmeden kötü amaçlı kod önermek için modelleri değiştirir ve tespit edilmesi zordur.

Saldırganlar, genellikle GitHub gibi açık depolardan alınan modele veya veri kümesine erişimden yararlanır ve burada modelin karmaşıklığı nedeniyle algılama zordur.

Azaltma stratejileri şunları içerir: –

  • Geliştirilmiş kod incelemesi
  • Güvenli kodlama uygulamaları
  • Tüyler ürpertici

Statik analiz araçları zehirli örneklerin tespit edilmesine yardımcı olabilir, ancak saldırganlar gizli sürümler oluşturabilir. Görevlerin ardından katılımcılar iki bölümden oluşan bir çıkış görüşmesi gerçekleştirdi: –

  • 1. Test ve güven derecelendirmelerini de içeren demografik ve güvenlik bilgisi değerlendirmesi.
  • 2. Takip soruları, yapay zeka destekli kodlama asistanlarındaki zehirleme saldırıları gibi güvenlik açıkları ve güvenlik tehditlerine ilişkin niyetleri, gerekçeleri ve farkındalığı araştırdı.

Öneriler

Aşağıda tüm önerilerden bahsettik: –

  • Geliştiricinin Perspektifi.
  • Yazılım Firmalarının Perspektifi.
  • Güvenlik Araştırmacılarının Bakış Açısı.
  • Yapay Zeka Destekli Kodlama Araçlarıyla Kullanıcı Çalışmaları.



Source link