Alucinações de Geração de Código de IA: Uma Nova Ameaça à Cadeia de Suprimentos de Software
A ascensão das ferramentas de geração de código impulsionadas por IA está revolucionando o desenvolvimento de software, mas também introduzindo novos riscos à cadeia de suprimentos de software. Essas ferramentas às vezes 'alucinam' pacotes de software inexistentes, uma vulnerabilidade que os atacantes estão explorando. Eles criam pacotes maliciosos e os carregam em registros como PyPI ou npm. Quando a IA 'alucina' o nome novamente, a instalação de dependências executa o malware. Estudos mostram que cerca de 5,2% das sugestões de IA comercial são pacotes inexistentes, em comparação com 21,7% para modelos de código aberto. Essa 'alucinação' apresenta um padrão bimodal: alguns nomes inventados reaparecem consistentemente, outros desaparecem. Essa forma de typosquatting, chamada de 'slopsquatting', exige que os desenvolvedores verifiquem cuidadosamente o código gerado por IA. A Python Software Foundation está trabalhando ativamente para mitigar esses riscos.