AI代码生成工具的幻觉风险:软件供应链的新威胁
2025-04-12
AI代码生成工具的兴起改变了开发人员编写软件的方式,但也为软件供应链带来了新的风险。这些工具有时会“幻觉”出不存在的软件包,攻击者可以利用这一点,创建恶意软件包,并将其上传到软件包注册表(如PyPI或npm),从而在AI再次“幻觉”出该名称时,安装依赖项并执行恶意代码。研究表明,商业模型中约5.2%的软件包建议不存在,开源模型则高达21.7%。安全公司Socket指出,这种“幻觉”具有双峰模式,一些虚构的名称反复出现,另一些则完全消失。这种利用虚构包名的攻击类似于错字抢注,安全人员称之为“slopsquatting”。开发人员应仔细检查AI生成的代码,避免因轻信而造成安全隐患。Python软件基金会等组织也在积极努力,降低恶意软件的风险。
开发