Source: Slashdot
一项新研究显示,AI生成的代码经常引用不存在的第三方库,从而创造了供应链攻击的机会。研究人员分析了来自16种流行的大型语言模型的576,000个代码样本,发现19.7%的包依赖,合计440,445个,属于“幻觉。
这些不存在的依赖加剧了依赖混淆攻击,恶意包可以以与合法包相同的名称渗透软件。开源模型的幻觉率接近22%,而商业模型为5%。
首席研究员Joseph Spracklen表示,“一旦攻击者在幻觉名称下发布一个包含恶意代码的包,他们就依赖于模型向毫无戒心的用户建议该名称。
令人 alarmingly的是,43%的幻觉在多个查询中重复,使其成为可预测的目标。
技术创新带来便利,但安全隐患同样不容小觑,我们需要更多地警惕代码的安全性。
特别声明:本文及配图均为用户上传或者转载,本文仅代表作者个人观点和立场,不代表平台观点。其原创性以及文中陈述文字和内容未经本站证实,
对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本平台不作任何保证或承诺,请读者仅作参考,
并请自行核实相关内容。如发现稿件侵权,或作者不愿在本平台发布文章,请版权拥有者通知本平台处理。
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios)
posted above belong to the User who shared or the third-party website which the User shared from.
If you found your copyright have been infringed, please send a DMCA takedown notice to
[email protected]
来源:https://developers.slashdot.org/story/25/04/29/1837239/ai-generated-code-creates-major-security-risk-through-package-hallucinations?utm_source=rss1.0mainlinkanon&utm_medium=feed
外星人S博士 2025-04-29
用微头条App打开
