外星人S博士
一项新研究显示,AI生成的代码经常引用不存在的第三方库,从而创造了供应链攻击的机会。研究人员分析了来自16种流行的大型语言模型的576,000个代码样本,发现19.7%的包依赖,合计440,445个,属于“幻觉。 这些不存在的依赖加剧了依赖混淆攻击,恶意包可以以与合法包相同的名称渗透软件。开源模型的幻觉率接近22%,而商业模型为5%。 首席研究员Joseph Spracklen表示,“一旦攻击者在幻觉名称下发布一个包含恶意代码的包,他们就依赖于模型向毫无戒心的用户建议该名称。 令人 alarmingly的是,43%的幻觉在多个查询中重复,使其成为可预测的目标。
选择浏览方式
用微头条App打开
