Alucinaciones de la generación de código de IA: Una nueva amenaza para la cadena de suministro de software
El auge de las herramientas de generación de código impulsadas por IA está revolucionando el desarrollo de software, pero también introduciendo nuevos riesgos en la cadena de suministro de software. Estas herramientas a veces 'alucinan' paquetes de software inexistentes, una vulnerabilidad que los atacantes están explotando. Crean paquetes maliciosos y los suben a registros como PyPI o npm. Cuando la IA 'alucina' el nombre de nuevo, la instalación de dependencias ejecuta el malware. Los estudios muestran que alrededor del 5,2% de las sugerencias de IA comerciales son paquetes inexistentes, en comparación con el 21,7% de los modelos de código abierto. Esta 'alucinación' muestra un patrón bimodal: algunos nombres inventados reaparecen constantemente, otros desaparecen. Esta forma de typosquatting, llamada 'slopsquatting', exige que los desarrolladores verifiquen cuidadosamente el código generado por IA. La Python Software Foundation está trabajando activamente para mitigar estos riesgos.