Pakar keamanan Bar Lanyado baru-baru ini melakukan penelitian tentang bagaimana model AI generatif berkontribusi secara tidak sengaja terhadap potensi ancaman keamanan yang sangat besar di dunia pengembangan perangkat lunak. Penelitian yang dilakukan oleh Lanyado menemukan tren yang mengkhawatirkan: AI menyarankan paket perangkat lunak imajiner, dan pengembang, tanpa menyadarinya, memasukkannya ke dalam basis kode mereka.
Masalah Terungkap
Sekarang, masalahnya adalah solusi yang dihasilkan adalah nama fiktif—sesuatu yang khas dari AI. Namun, nama paket fiktif ini kemudian dengan percaya diri disarankan kepada pengembang yang mengalami kesulitan dalam pemrograman dengan model AI. Memang benar, beberapa nama paket yang diciptakan sebagian didasarkan pada orang—seperti Lanyado—dan ada pula yang mengubahnya menjadi paket nyata. Hal ini, pada gilirannya, menyebabkan dimasukkannya kode yang berpotensi berbahaya secara tidak sengaja ke dalam proyek perangkat lunak yang nyata dan sah.
Salah satu bisnis yang terkena dampak ini adalah Alibaba, salah satu pemain utama di industri teknologi. Dalam instruksi instalasi GraphTranslator, Lanyado menemukan bahwa Alibaba telah menyertakan paket bernama “huggingface-cli” yang telah dipalsukan. Faktanya, ada paket asli dengan nama yang sama yang dihosting di Indeks Paket Python (PyPI), tetapi panduan Alibaba mengacu pada paket yang dibuat Lanyado.
Menguji kegigihan
Penelitian Lanyado bertujuan untuk menilai umur panjang dan potensi eksploitasi nama paket yang dihasilkan AI ini. Dalam hal ini, LQuery menerapkan model AI yang berbeda mengenai tantangan pemrograman dan antar bahasa dalam proses pemahaman jika, secara efektif, dengan cara yang sistematis, nama-nama fiktif tersebut direkomendasikan. Eksperimen ini menunjukkan dengan jelas bahwa terdapat risiko entitas berbahaya dapat menyalahgunakan nama paket yang dihasilkan AI untuk mendistribusikan perangkat lunak berbahaya.
Hasil-hasil ini mempunyai implikasi yang mendalam. Pelaku kejahatan dapat mengeksploitasi kepercayaan buta yang diberikan oleh pengembang terhadap rekomendasi yang diterima sedemikian rupa sehingga mereka dapat mulai menerbitkan paket berbahaya dengan identitas palsu. Dengan model AI, risiko meningkat seiring dengan rekomendasi AI yang konsisten untuk nama paket yang ditemukan, yang akan dimasukkan sebagai malware oleh pengembang yang tidak menyadarinya. **Jalan lurus**
Oleh karena itu, seiring dengan semakin terintegrasinya AI dengan pengembangan perangkat lunak, kebutuhan untuk memperbaiki kerentanan mungkin timbul jika dikaitkan dengan rekomendasi yang dihasilkan AI. Dalam kasus seperti ini, uji tuntas harus dilakukan agar paket perangkat lunak yang disarankan untuk integrasi adalah sah. Selain itu, platform yang menampung repositori perangkat lunak harus tersedia untuk memverifikasi dan cukup kuat sehingga tidak ada kode berkualitas jahat yang boleh didistribusikan.
Persimpangan antara kecerdasan buatan dan pengembangan perangkat lunak telah mengungkap ancaman keamanan yang mengkhawatirkan. Selain itu, model AI dapat menyebabkan rekomendasi paket perangkat lunak palsu secara tidak sengaja, yang menimbulkan risiko besar terhadap integritas proyek perangkat lunak. Fakta bahwa dalam instruksinya, Alibaba menyertakan sebuah kotak yang seharusnya tidak pernah ada di sana, merupakan bukti nyata bagaimana kemungkinan sebenarnya bisa terjadi ketika orang secara robotik mengikuti rekomendasi.
diberikan oleh AI. Di masa depan, kewaspadaan harus diambil dalam tindakan proaktif sehingga penyalahgunaan AI untuk pengembangan perangkat lunak dapat dihindari.
Sumber: https://www.cryptopolitan.com/ai-generated-software-packages-threats/