ਏਆਈ ਭਰਮ ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਲਈ ਨਵਾਂ ਖ਼ਤਰਾ ਪੈਦਾ ਕਰਦੇ ਹਨ
ਕੋਡਿੰਗ ਲਈ ਆਰਟੀਫੀਸ਼ੀਅਲ ਇੰਟੈਲੀਜੈਂਸ 'ਤੇ ਨਿਰਭਰ ਡਿਵੈਲਪਰਾਂ ਅਤੇ ਸੰਗਠਨਾਂ ਲਈ ਇੱਕ ਦਿਲਚਸਪ ਨਵੇਂ ਵਿਕਾਸ ਵਿੱਚ, ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਕੋਡ-ਜਨਰੇਟਿੰਗ ਮਾਡਲਾਂ ਵਿੱਚ AI ਭਰਮ ਦੁਆਰਾ ਪੈਦਾ ਕੀਤੇ ਗਏ ਇੱਕ ਨਵੇਂ ਸਪਲਾਈ ਚੇਨ ਖ਼ਤਰੇ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ। ਇਹ ਉੱਭਰ ਰਿਹਾ ਹਮਲਾ ਵੈਕਟਰ, ਜਿਸਨੂੰ ਸਲੋਪਸਕਵਾਟਿੰਗ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਖਤਰਨਾਕ ਅਦਾਕਾਰਾਂ ਨੂੰ ਵੱਡੇ ਭਾਸ਼ਾ ਮਾਡਲਾਂ (LLMs) ਦੁਆਰਾ ਭਰਮਾਏ ਗਏ ਜਾਅਲੀ ਪੈਕੇਜਾਂ ਦਾ ਫਾਇਦਾ ਉਠਾ ਕੇ ਸਾਫਟਵੇਅਰ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਘੁਸਪੈਠ ਕਰਨ ਦੀ ਆਗਿਆ ਦੇ ਸਕਦਾ ਹੈ।
ਖ਼ਤਰਾ ਇਸ ਤੱਥ ਵਿੱਚ ਹੈ ਕਿ LLM ਅਕਸਰ ਪੈਕੇਜਾਂ ਨੂੰ "ਭਰਮ" ਕਰਦੇ ਹਨ—ਉਹਨਾਂ ਸਾਫਟਵੇਅਰ ਨਿਰਭਰਤਾਵਾਂ ਦੇ ਹਵਾਲੇ ਸੁਝਾਉਂਦੇ ਹਨ ਜਾਂ ਸੰਮਿਲਿਤ ਕਰਦੇ ਹਨ ਜੋ ਸਿਰਫ਼ ਮੌਜੂਦ ਨਹੀਂ ਹਨ। ਸੈਨ ਐਂਟੋਨੀਓ ਵਿਖੇ ਟੈਕਸਾਸ ਯੂਨੀਵਰਸਿਟੀ, ਓਕਲਾਹੋਮਾ ਯੂਨੀਵਰਸਿਟੀ, ਅਤੇ ਵਰਜੀਨੀਆ ਟੈਕ ਦੁਆਰਾ ਸਾਂਝੇ ਤੌਰ 'ਤੇ ਕੀਤੀ ਗਈ ਖੋਜ ਵਿੱਚ, ਇਹ ਪਤਾ ਲੱਗਾ ਕਿ ਟੈਸਟ ਕੀਤੇ ਗਏ 16 ਪ੍ਰਸਿੱਧ LLM ਵਿੱਚੋਂ ਕੋਈ ਵੀ ਇਸ ਵਰਤਾਰੇ ਤੋਂ ਮੁਕਤ ਨਹੀਂ ਸੀ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਸਲੌਪਸਕੈਟਿੰਗ ਕੀ ਹੈ ਅਤੇ ਇਹ ਕਿਵੇਂ ਕੰਮ ਕਰਦੀ ਹੈ?
ਸਲੌਪਸਕੈਟਿੰਗ ਇਸ ਭਰਮ ਨੁਕਸ ਨੂੰ ਲੈਂਦੀ ਹੈ ਅਤੇ ਇਸਨੂੰ ਇੱਕ ਹਥਿਆਰ ਵਿੱਚ ਬਦਲ ਦਿੰਦੀ ਹੈ। ਜਦੋਂ ਇੱਕ LLM ਕੋਡ ਜਨਰੇਸ਼ਨ ਦੌਰਾਨ ਇੱਕ ਗੈਰ-ਮੌਜੂਦ ਪੈਕੇਜ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ, ਤਾਂ ਸਾਈਬਰ ਅਪਰਾਧੀ ਉਸ ਨਾਮ ਹੇਠ ਇੱਕ ਖਤਰਨਾਕ ਪੈਕੇਜ ਨੂੰ ਜਲਦੀ ਰਜਿਸਟਰ ਕਰ ਸਕਦੇ ਹਨ। ਇੱਕ ਵਾਰ ਪ੍ਰਕਾਸ਼ਿਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਕੋਈ ਵੀ ਡਿਵੈਲਪਰ ਜੋ AI-ਤਿਆਰ ਕੀਤੇ ਕੋਡ ਨੂੰ ਫੇਸ ਵੈਲਯੂ 'ਤੇ ਸਵੀਕਾਰ ਕਰਦਾ ਹੈ, ਅਣਜਾਣੇ ਵਿੱਚ ਖਤਰਨਾਕ ਪੈਕੇਜ ਨੂੰ ਆਯਾਤ ਅਤੇ ਚਲਾ ਸਕਦਾ ਹੈ। ਇਹ ਨਾ ਸਿਰਫ਼ ਵਿਅਕਤੀਗਤ ਪ੍ਰੋਜੈਕਟ ਨਾਲ ਸਮਝੌਤਾ ਕਰਦਾ ਹੈ ਬਲਕਿ ਜੇਕਰ ਸੰਕਰਮਿਤ ਕੋਡ ਨੂੰ ਦੁਬਾਰਾ ਵਰਤਿਆ ਜਾਂ ਸਾਂਝਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਤਾਂ ਇਹ ਪੂਰੀ ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨਾਂ ਵਿੱਚ ਵੀ ਫੈਲ ਸਕਦਾ ਹੈ।
ਅਧਿਐਨ ਵਿੱਚ ਪਾਇਆ ਗਿਆ ਕਿ ਪਾਈਥਨ ਅਤੇ ਜਾਵਾ ਸਕ੍ਰਿਪਟ ਟੈਸਟ ਦ੍ਰਿਸ਼ਾਂ ਵਿੱਚ ਤਿਆਰ ਕੀਤੇ ਗਏ 2.23 ਮਿਲੀਅਨ ਪੈਕੇਜਾਂ ਵਿੱਚੋਂ, ਲਗਭਗ 440,000—ਜਾਂ ਲਗਭਗ 19.7%—ਭਰਮ ਵਿੱਚ ਸਨ। ਇਹਨਾਂ ਵਿੱਚੋਂ, ਇੱਕ ਹੈਰਾਨ ਕਰਨ ਵਾਲਾ 205,474 ਵਿਲੱਖਣ ਕਾਲਪਨਿਕ ਪੈਕੇਜ ਨਾਮ ਸਨ। ਜ਼ਿਆਦਾਤਰ ਭਰਮ ਵਿੱਚ ਪੈ ਗਏ ਪੈਕੇਜ—81%—ਉਸ ਖਾਸ ਮਾਡਲ ਲਈ ਵਿਲੱਖਣ ਸਨ ਜਿਸਨੇ ਉਹਨਾਂ ਨੂੰ ਪੈਦਾ ਕੀਤਾ, ਜੋ ਵੱਖ-ਵੱਖ LLM ਵਿੱਚ ਅਸੰਗਤ ਵਿਵਹਾਰਾਂ ਵੱਲ ਇਸ਼ਾਰਾ ਕਰਦੇ ਹਨ।
ਵਪਾਰਕ ਏਆਈ ਮਾਡਲਾਂ ਨੇ ਘੱਟੋ-ਘੱਟ 5.2% ਮਾਮਲਿਆਂ ਵਿੱਚ ਭਰਮ ਵਾਲੇ ਪੈਕੇਜਾਂ ਨੂੰ ਦਿਖਾਇਆ, ਜਦੋਂ ਕਿ ਓਪਨ-ਸੋਰਸ ਮਾਡਲਾਂ ਨੇ ਭਰਮ ਦਰਾਂ 21.7% ਤੱਕ ਪਹੁੰਚਣ ਦੇ ਨਾਲ ਕਾਫ਼ੀ ਮਾੜਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ। ਚਿੰਤਾਜਨਕ ਤੌਰ 'ਤੇ, ਇਹ ਗਲਤੀਆਂ ਸਿਰਫ਼ ਇੱਕ ਵਾਰ ਦੀਆਂ ਗਲਤੀਆਂ ਨਹੀਂ ਸਨ। ਭਰਮ ਵਾਲੇ ਪੈਕੇਜਾਂ ਵਿੱਚੋਂ ਅੱਧੇ ਤੋਂ ਵੱਧ (58%) ਸਿਰਫ਼ 10 ਦੁਹਰਾਓ ਦੇ ਅੰਦਰ ਵਾਰ-ਵਾਰ ਪ੍ਰਗਟ ਹੋਏ, ਜੋ ਕਿ ਨਿਰੰਤਰਤਾ ਲਈ ਇੱਕ ਸਪੱਸ਼ਟ ਰੁਝਾਨ ਦਿਖਾਉਂਦੇ ਹਨ।
ਸਾਫਟਵੇਅਰ ਵਿਕਾਸ ਵਿੱਚ ਏਆਈ-ਜਨਰੇਟਿਡ ਕੋਡ ਦਾ ਵਧਦਾ ਜੋਖਮ
ਜਦੋਂ ਕਿ ਪਿਛਲੇ ਅਧਿਐਨਾਂ ਨੇ ਟਾਈਪੋਸਕਵੇਟਿੰਗ ਦੇ ਖ਼ਤਰੇ ਨੂੰ ਸਵੀਕਾਰ ਕੀਤਾ ਹੈ - ਜਿੱਥੇ ਹਮਲਾਵਰ ਗਲਤ ਟਾਈਪ ਕੀਤੇ ਜਾਂ ਗੁੰਮਰਾਹਕੁੰਨ ਪੈਕੇਜ ਨਾਵਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹਨ - ਇਹ ਨਵਾਂ ਸਲੋਪਸਕਵੇਟਿੰਗ ਹਮਲਾ ਇੱਕ ਅਣਦੇਖਾ ਅਤੇ ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਕਿਤੇ ਜ਼ਿਆਦਾ ਖ਼ਤਰਨਾਕ ਰੂਪ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ। ਟਾਈਪੋਸਕਵੇਟਿੰਗ ਦੇ ਉਲਟ, ਜੋ ਮਨੁੱਖੀ ਗਲਤੀ ਦਾ ਸ਼ਿਕਾਰ ਹੁੰਦਾ ਹੈ, ਸਲੋਪਸਕਵੇਟਿੰਗ AI-ਤਿਆਰ ਕੀਤੇ ਕੋਡ ਦੇ ਸਮਝੇ ਗਏ ਅਧਿਕਾਰ ਅਤੇ ਭਰੋਸੇਯੋਗਤਾ ਦਾ ਲਾਭ ਉਠਾਉਂਦੀ ਹੈ।
ਸ਼ਾਇਦ ਸਭ ਤੋਂ ਦਿਲਚਸਪ - ਅਤੇ ਬਰਾਬਰ ਚਿੰਤਾਜਨਕ - ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਪਾਇਆ ਕਿ LLM ਆਪਣੇ ਬਹੁਤ ਸਾਰੇ ਭਰਮਾਂ ਨੂੰ ਪਛਾਣਨ ਦੇ ਸਮਰੱਥ ਸਨ। ਇਹ ਇੱਕ ਅਣਵਰਤੀ ਸਵੈ-ਨਿਯੰਤ੍ਰਕ ਸੰਭਾਵਨਾ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ ਜੋ ਭਵਿੱਖ ਦੇ ਸੁਰੱਖਿਆ ਵਿਧੀਆਂ ਵਿੱਚ ਵਰਤੀ ਜਾ ਸਕਦੀ ਹੈ। ਇਹ ਨੁਕਸਦਾਰ ਜਾਂ ਖਤਰਨਾਕ ਕੋਡ ਦੀ ਵੰਡ ਨੂੰ ਰੋਕਣ ਲਈ ਇਨ-ਮਾਡਲ ਖੋਜ ਸਾਧਨਾਂ ਨੂੰ ਤਾਇਨਾਤ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਵੱਲ ਵੀ ਸੰਕੇਤ ਕਰਦਾ ਹੈ।
ਡਿਵੈਲਪਰ AI ਪੈਕੇਜ ਭਰਮਾਂ ਤੋਂ ਕਿਵੇਂ ਬਚਾਅ ਕਰ ਸਕਦੇ ਹਨ
ਇਸ ਖ਼ਤਰੇ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ, ਖੋਜਕਰਤਾ ਕਈ ਤਰ੍ਹਾਂ ਦੇ ਉਪਾਅ ਸੁਝਾਉਂਦੇ ਹਨ। ਇਨ੍ਹਾਂ ਵਿੱਚ ਐਡਵਾਂਸਡ ਪ੍ਰੋਂਪਟ ਇੰਜੀਨੀਅਰਿੰਗ ਤਕਨੀਕਾਂ ਜਿਵੇਂ ਕਿ ਰਿਟ੍ਰੀਵਲ ਔਗਮੈਂਟੇਡ ਜਨਰੇਸ਼ਨ (RAG), ਪ੍ਰੋਂਪਟ ਟਿਊਨਿੰਗ, ਅਤੇ ਸਵੈ-ਸੁਧਾਈ ਸ਼ਾਮਲ ਹਨ। ਮਾਡਲ ਵਿਕਾਸ ਵਾਲੇ ਪਾਸੇ, ਨਿਗਰਾਨੀ ਕੀਤੇ ਫਾਈਨ-ਟਿਊਨਿੰਗ ਅਤੇ ਬਿਹਤਰ ਡੀਕੋਡਿੰਗ ਐਲਗੋਰਿਦਮ ਵਰਗੀਆਂ ਰਣਨੀਤੀਆਂ ਭਰਮ ਦਰਾਂ ਨੂੰ ਘਟਾਉਣ ਵਿੱਚ ਮਦਦ ਕਰ ਸਕਦੀਆਂ ਹਨ।
ਜਿਵੇਂ ਕਿ ਜਨਰੇਟਿਵ ਏਆਈ ਸਾਫਟਵੇਅਰ ਵਿਕਾਸ ਨੂੰ ਬਦਲਦਾ ਰਹਿੰਦਾ ਹੈ, ਇਹ ਅਧਿਐਨ ਇੱਕ ਸਪੱਸ਼ਟ ਯਾਦ ਦਿਵਾਉਂਦਾ ਹੈ ਕਿ ਸਹੂਲਤ ਇੱਕ ਕੀਮਤ 'ਤੇ ਆ ਸਕਦੀ ਹੈ। ਡਿਵੈਲਪਰਾਂ ਨੂੰ ਏਆਈ-ਤਿਆਰ ਕੀਤੇ ਕੋਡ ਪ੍ਰਤੀ ਚੌਕਸ ਅਤੇ ਆਲੋਚਨਾਤਮਕ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ, ਖਾਸ ਕਰਕੇ ਜਦੋਂ ਨਿਰਭਰਤਾ ਪ੍ਰਬੰਧਨ ਦੀ ਗੱਲ ਆਉਂਦੀ ਹੈ। ਕਿਸੇ ਵੀ ਸਿਫ਼ਾਰਸ਼ ਕੀਤੇ ਪੈਕੇਜਾਂ ਨੂੰ ਸਥਾਪਿਤ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਸਥਿਰ ਵਿਸ਼ਲੇਸ਼ਣ ਟੂਲਸ ਅਤੇ ਮੈਨੂਅਲ ਸਮੀਖਿਆਵਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਨਾ ਹੁਣ ਪਹਿਲਾਂ ਨਾਲੋਂ ਕਿਤੇ ਜ਼ਿਆਦਾ ਮਹੱਤਵਪੂਰਨ ਹੈ।
ਖ਼ਤਰੇ ਦਾ ਦ੍ਰਿਸ਼ ਤੇਜ਼ੀ ਨਾਲ ਵਿਕਸਤ ਹੋ ਰਿਹਾ ਹੈ, ਅਤੇ ਜਿਵੇਂ ਕਿ ਇਹ ਖੋਜ ਦਰਸਾਉਂਦੀ ਹੈ, ਸਾਡੇ ਬਚਾਅ ਪੱਖਾਂ ਨੂੰ ਵੀ ਇਸੇ ਤਰ੍ਹਾਂ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ। ਜੋ ਕਦੇ ਵਿਗਿਆਨਕ ਕਲਪਨਾ ਵਰਗਾ ਲੱਗਦਾ ਸੀ - ਏਆਈ ਇੱਕ ਅਜਿਹਾ ਸਾਫਟਵੇਅਰ ਕਲਪਨਾ ਕਰਦਾ ਹੈ ਜੋ ਮੌਜੂਦ ਨਹੀਂ ਹੈ - ਵਿਆਪਕ ਪ੍ਰਭਾਵਾਂ ਦੇ ਨਾਲ ਇੱਕ ਬਹੁਤ ਹੀ ਅਸਲ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਚਿੰਤਾ ਬਣ ਗਿਆ ਹੈ।