澳门永利(中国)官方网站中人工智能驱动的幻觉导致新威胁:擅自抢注
2025 年 8 月 25 日随着公众对生成式 AI 工具的使用越来越广泛,网络安全专业人士、开发者和企业领导者已将一种名为“slopsquatting”的新漏洞识别为澳门永利(中国)官方网站风险管理 (C-SCRM) 系统中的威胁。
什么是乱蹲?
这个术语是拼写错误的变形,这是一种常见策略,攻击者注册并利用流行软件包的拼写错误版本。抢注是供应链攻击的一种形式,利用人工智能生成的代码中的所谓“幻觉”,人工智能自信地建议不正确或捏造的代码。攻击者利用这些错误建议将恶意软件引入可信环境,通常是通过创建看似合法的假包或存储库.
如果开发者相信人工智能的建议并在不知不觉中安装了其中一个软件包,他们可能会将恶意软件引入到他们的应用程序中。该恶意软件可能会窃取凭据和数据或为未来的攻击创建后门。一旦嵌入,恶意代码就可以通过软件供应链传播,影响下游用户、系统甚至其他公司。
德克萨斯大学圣安东尼奥分校、弗吉尼亚理工大学和俄克拉荷马大学的研究人员最近进行了一项研究,测试了 16 个跨 Python 和 JavaScript 的流行代码生成 AI 模型。他们发现生成的 756,000 个代码示例中近 20% 包含幻觉的包名称。
为什么软件供应链特别容易受到攻击?
现代软件开发严重依赖开源库和第三方软件包,这些库和第三方软件包通常会自动生成工具链以方便部署。这些依赖项通常是嵌套的,这意味着单个恶意包可能会影响多个应用程序。根据 GitHub 的一项研究,超过97% 的开发者至少使用过一次 AI 编码工具。当人工智能工具产生依赖关系时,它们会为攻击者创建一个完美的入口点,将恶意代码插入到受信任的生态系统中。
软件供应链已经非常复杂且脆弱。擅自抢注增加了一层新的风险,难以检测且易于利用。对于金融、医疗保健和国防等软件完整性至关重要的行业来说,这一点尤其令人担忧。单个受损的包可能会导致数据泄露、服务中断,甚至国家安全风险取决于所利用的系统和数据。
组织如何防范抢注风险?
根据 NIST 特别出版物 800-161,联邦机构应实施与组织现有框架相一致的澳门永利(中国)官方网站风险管理实践以及“风险管理活动包括对当前系统和业务实践进行编目、调查系统是否存在漏洞以及开发流程以持续缓解这些漏洞。”
这种多层策略对于其他组织来说也是一种最佳实践。开发人员必须接受培训,在安装前验证所有包名称和来源,特别是人工智能工具建议的那些。自动化工具可以通过扫描公共存储库以查找可疑或新注册的类似于幻觉名称的软件包来提供帮助。部署代码生成人工智能模型的公司还应该审核其输出并实施保护措施以检测和标记不存在的依赖项。
最后,正如澳门永利(中国)官方网站安全领域一贯的情况一样,教育是关键。安全团队、开发人员和供应链经理必须具备识别和应对这些新兴威胁的知识。
Capitol Tech 的澳门永利(中国)官方网站安全教育
随着人工智能成为软件开发的核心部分,澳门永利(中国)官方网站安全、人工智能工程和供应链管理方面的专业人士必须共同努力,了解和减轻诸如抢注等风险。
首都科技大学的课程澳门永利(中国)官方网站安全, 人工智能,并且供应链管理经过独特设计,旨在应对这些新兴挑战,并培训学生在不断发展的技术领域占据领先地位。