సాఫ్ట్వేర్ సరఫరా గొలుసుకు AI భ్రాంతులు కొత్త ముప్పును కలిగిస్తున్నాయి
కోడింగ్ కోసం కృత్రిమ మేధస్సుపై ఆధారపడే డెవలపర్లు మరియు సంస్థలకు ఒక కొత్త పరిణామంగా, పరిశోధకులు కోడ్-జనరేటింగ్ మోడల్లలో AI భ్రాంతులు సృష్టించిన ఒక కొత్త సరఫరా గొలుసు ముప్పును కనుగొన్నారు. స్లాప్స్క్వాటింగ్ అని పిలువబడే ఈ ఉద్భవిస్తున్న దాడి వెక్టర్, లార్జ్ లాంగ్వేజ్ మోడల్స్ (LLMలు) ద్వారా భ్రాంతులు కలిగించబడిన కల్పిత ప్యాకేజీలను సద్వినియోగం చేసుకోవడం ద్వారా సాఫ్ట్వేర్ పర్యావరణ వ్యవస్థల్లోకి చొరబడటానికి హానికరమైన నటులను అనుమతించగలదు.
LLMలు తరచుగా ప్యాకేజీలను "భ్రాంతులు" చేస్తాయి - ఉనికిలో లేని సాఫ్ట్వేర్ డిపెండెన్సీలకు సూచనలను సూచిస్తాయి లేదా చొప్పించాయి. శాన్ ఆంటోనియోలోని టెక్సాస్ విశ్వవిద్యాలయం, ఒక్లహోమా విశ్వవిద్యాలయం మరియు వర్జీనియా టెక్ సంయుక్తంగా నిర్వహించిన పరిశోధనలో, పరీక్షించబడిన 16 ప్రసిద్ధ LLMలలో ఏవీ ఈ దృగ్విషయానికి రోగనిరోధక శక్తిని కలిగి లేవని కనుగొనబడింది.
విషయ సూచిక
స్లాప్స్క్వాటింగ్ అంటే ఏమిటి మరియు అది ఎలా పని చేస్తుంది?
స్లాప్స్క్వాటింగ్ ఈ భ్రాంతుల లోపాన్ని తీసుకొని దానిని ఆయుధంగా మారుస్తుంది. కోడ్ జనరేషన్ సమయంలో LLM ఉనికిలో లేని ప్యాకేజీని సూచించినప్పుడు, సైబర్ నేరస్థులు ఆ పేరుతో ఒక హానికరమైన ప్యాకేజీని త్వరగా నమోదు చేసుకోవచ్చు. ప్రచురించబడిన తర్వాత, AI-జనరేటెడ్ కోడ్ను ముఖ విలువతో అంగీకరించే ఏ డెవలపర్ అయినా తెలియకుండానే హానికరమైన ప్యాకేజీని దిగుమతి చేసుకుని అమలు చేయవచ్చు. ఇది వ్యక్తిగత ప్రాజెక్ట్ను రాజీ చేయడమే కాకుండా, సోకిన కోడ్ను తిరిగి ఉపయోగించినట్లయితే లేదా భాగస్వామ్యం చేస్తే మొత్తం సాఫ్ట్వేర్ సరఫరా గొలుసులలో కూడా వ్యాప్తి చెందుతుంది.
పైథాన్ మరియు జావాస్క్రిప్ట్ పరీక్షా దృశ్యాలలో ఉత్పత్తి చేయబడిన 2.23 మిలియన్ ప్యాకేజీలలో, దాదాపు 440,000 - లేదా దాదాపు 19.7% - భ్రాంతులు కలిగి ఉన్నాయని అధ్యయనం కనుగొంది. వీటిలో, అద్భుతమైన 205,474 ప్రత్యేకమైన కల్పిత ప్యాకేజీ పేర్లు. చాలా భ్రాంతులు కలిగిన ప్యాకేజీలు - 81% - వాటిని ఉత్పత్తి చేసిన నిర్దిష్ట నమూనాకు ప్రత్యేకమైనవి, వివిధ LLMలలో అస్థిరమైన ప్రవర్తనలను సూచిస్తున్నాయి.
వాణిజ్య AI మోడల్లు కనీసం 5.2% కేసుల్లో ప్యాకేజీలను భ్రాంతులుగా మార్చగా, ఓపెన్-సోర్స్ మోడల్లు భ్రాంతులు రేట్లు 21.7%కి చేరుకోవడంతో గణనీయంగా అధ్వాన్నంగా పనిచేశాయి. ఆందోళనకరంగా, ఈ లోపాలు కేవలం ఒకేసారి సంభవించినవి కావు. భ్రాంతులు కలిగించే ప్యాకేజీలలో సగానికి పైగా (58%) కేవలం 10 పునరావృతాలలో పదేపదే కనిపించాయి, ఇది నిలకడకు స్పష్టమైన ధోరణిని చూపుతుంది.
సాఫ్ట్వేర్ అభివృద్ధిలో AI-జనరేటెడ్ కోడ్ యొక్క పెరుగుతున్న ప్రమాదం
మునుపటి అధ్యయనాలు టైపోస్క్వాటింగ్ ముప్పును గుర్తించాయి - దాడి చేసేవారు తప్పుగా టైప్ చేసిన లేదా తప్పుదారి పట్టించే ప్యాకేజీ పేర్లను ఉపయోగించుకుంటారు - ఈ కొత్త స్లోప్స్క్వాటింగ్ దాడి విస్మరించబడిన మరియు సంభావ్యంగా చాలా ప్రమాదకరమైన వేరియంట్ను సూచిస్తుంది. మానవ తప్పిదాలను వేటాడే టైపోస్క్వాటింగ్ మాదిరిగా కాకుండా, స్లోప్స్క్వాటింగ్ AI- సృష్టించిన కోడ్ యొక్క గ్రహించిన అధికారం మరియు విశ్వసనీయతను ప్రభావితం చేస్తుంది.
LLMలు వాటి స్వంత భ్రాంతులను గుర్తించగల సామర్థ్యాన్ని కలిగి ఉన్నాయని పరిశోధకులు కనుగొన్న ఈ పరిశోధన అత్యంత ఆకర్షణీయంగా మరియు అంతే ఆందోళనకరంగా ఉంది. ఇది భవిష్యత్ భద్రతా విధానాలలో ఉపయోగించగల ఉపయోగించని స్వీయ-నియంత్రణ సామర్థ్యాన్ని సూచిస్తుంది. తప్పు లేదా ప్రమాదకరమైన కోడ్ పంపిణీని నిరోధించడానికి ఇన్-మోడల్ డిటెక్షన్ సాధనాలను అమలు చేసే అవకాశాన్ని కూడా ఇది సూచిస్తుంది.
AI ప్యాకేజీ భ్రాంతుల నుండి డెవలపర్లు ఎలా రక్షించుకోవచ్చు
ఈ ముప్పును ఎదుర్కోవడానికి, పరిశోధకులు అనేక రకాల ఉపశమనాలను ప్రతిపాదిస్తున్నారు. వీటిలో రిట్రీవల్ ఆగ్మెంటెడ్ జనరేషన్ (RAG), ప్రాంప్ట్ ట్యూనింగ్ మరియు సెల్ఫ్-రిఫైన్మెంట్ వంటి అధునాతన ప్రాంప్ట్ ఇంజనీరింగ్ పద్ధతులు ఉన్నాయి. మోడల్ డెవలప్మెంట్ వైపు, పర్యవేక్షించబడిన ఫైన్-ట్యూనింగ్ మరియు మెరుగైన డీకోడింగ్ అల్గోరిథంలు వంటి వ్యూహాలు భ్రాంతుల రేటును తగ్గించడంలో సహాయపడతాయి.
ఉత్పాదక AI సాఫ్ట్వేర్ అభివృద్ధిని రూపాంతరం చెందిస్తూనే ఉన్నందున, ఈ అధ్యయనం సౌలభ్యం ఖర్చుతో కూడుకున్నదని పూర్తిగా గుర్తు చేస్తుంది. డెవలపర్లు AI-సృష్టించిన కోడ్ పట్ల అప్రమత్తంగా మరియు విమర్శనాత్మకంగా ఉండాలి, ముఖ్యంగా డిపెండెన్సీ నిర్వహణ విషయానికి వస్తే. ఏదైనా సిఫార్సు చేయబడిన ప్యాకేజీలను ఇన్స్టాల్ చేసే ముందు స్టాటిక్ విశ్లేషణ సాధనాలు మరియు మాన్యువల్ సమీక్షలను సమగ్రపరచడం ఇప్పుడు గతంలో కంటే చాలా ముఖ్యమైనది.
ముప్పు ప్రకృతి దృశ్యం వేగంగా అభివృద్ధి చెందుతోంది, మరియు ఈ పరిశోధన చూపినట్లుగా, మన రక్షణలు కూడా అలాగే ఉండాలి. ఒకప్పుడు సైన్స్ ఫిక్షన్ లాగా అనిపించినది - ఉనికిలో లేని సాఫ్ట్వేర్ను AI ఊహించుకోవడం - విస్తృతమైన చిక్కులతో కూడిన నిజమైన సైబర్ భద్రతా సమస్యగా మారింది.