Το AI slopsquatting γίνεται ο νέος κίνδυνος της εφοδιαστικής αλυσίδας
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Το AI slopsquatting γίνεται ο νέος κίνδυνος της εφοδιαστικής αλυσίδας
https://www.secnews.gr/646161/ai-slopsquatting-ginetai-neos-kindinos-eodiastikis-alisidas/
Apr 14th 2025, 10:10
by Absenta Mia
Μια νέα κατηγορία επιθέσεων στην αλυσίδα εφοδιασμού, γνωστή ως 'slopsquatting', έχει προκύψει από την αυξανόμενη χρήση εργαλείων generative AI για προγραμματισμό και την τάση του μοντέλου να "παραποιεί" ανύπαρκτα ονόματα πακέτων.
Δείτε επίσης: Η Amazon παρουσίασε τον νέο AI agent "Nova Act"
Ο όρος slopsquatting επινοήθηκε από τον ερευνητή ασφάλειας Seth Larson ως παραλλαγή του typosquatting, μιας μεθόδου επίθεσης που παραπλανεί τους προγραμματιστές να εγκαταστήσουν κακόβουλα πακέτα χρησιμοποιώντας ονόματα που μοιάζουν πολύ με δημοφιλείς βιβλιοθήκες.
Σε αντίθεση με το typosquatting, το slopsquatting δεν βασίζεται σε ορθογραφικά λάθη. Αντίθετα, οι κακόβουλοι παράγοντες θα μπορούσαν να δημιουργήσουν κακόβουλα πακέτα σε καταλόγους όπως το PyPI και το npm, ονομάζοντάς τα με ονόματα που συχνά δημιουργούνται από μοντέλα τεχνητής νοημοσύνης σε παραδείγματα προγραμματισμού.
Μια ερευνητική εργασία σχετικά με το slopsquatting, που δημοσιεύθηκε τον Μάρτιο του 2025, αποδεικνύει ότι σε περίπου 20% των εξετασθέντων περιπτώσεων (576.000 παραγόμενα δείγματα κώδικα σε Python και JavaScript), τα προτεινόμενα πακέτα δεν υπήρχαν.
Η κατάσταση είναι χειρότερη σε ανοιχτού κώδικα LLMs όπως τα CodeLlama, DeepSeek, WizardCoder και Mistral, ενώ τα εμπορικά εργαλεία όπως το ChatGPT-4 παρουσίασαν επίσης το ίδιο θέμα, σε ποσοστό περίπου 5%, το οποίο είναι σημαντικό.
Δείτε ακόμα: Καναδάς: Έρευνα στο X για χρήση δεδομένων χρηστών για εκπαίδευση AI
Αν και ο αριθμός των μοναδικών ονομάτων πακέτων που καταγράφηκαν στην έρευνα ήταν μεγάλος, ξεπερνώντας τις 200.000, το 43% αυτών επαναλήφθηκε σταθερά σε παρόμοιες προτροπές, ενώ το 58% εμφανίστηκε τουλάχιστον μία φορά ξανά σε δέκα εκτελέσεις.
Το AI slopsquatting γίνεται ο νέος κίνδυνος της εφοδιαστικής αλυσίδας
Η έρευνα αποκάλυψε ότι το 38% αυτών των ονομάτων πακέτων που δημιουργήθηκαν φαινομενικά εμπνεύστηκαν από πραγματικά πακέτα, το 13% προήλθε από τυπογραφικά λάθη, και το υπόλοιπο, 51%, ήταν εντελώς επινοημένο.
Παρά το γεγονός ότι δεν υπάρχουν ενδείξεις ότι οι επιτιθέμενοι έχουν αρχίσει να εκμεταλλεύονται αυτόν τον νέο τύπο επίθεσης, οι ερευνητές της εταιρείας κυβερνοασφάλειας ανοιχτού κώδικα Socket προειδοποιούν ότι οι φανταστικές ονομασίες πακέτων είναι συχνές, επαναλαμβανόμενες και λογικά πειστικές, δημιουργώντας μια προβλέψιμη επιφάνεια επίθεσης που θα μπορούσε να αξιοποιηθεί εύκολα.
Ο μοναδικός τρόπος για να μειωθεί ο κίνδυνος του slopsquatting είναι να ελέγχονται τα ονόματα των πακέτων χειροκίνητα και να μην θεωρείται ποτέ ότι ένα πακέτο που αναφέρεται σε ένα κομμάτι κώδικα που έχει παραχθεί από AI είναι πραγματικό ή ασφαλές.
Δείτε επίσης: YouTube: Νέα generative AI video features για δημιουργία Shorts
Το Generative AI (ή Γενετική Τεχνητή Νοημοσύνη) είναι ένας τύπος τεχνητής νοημοσύνης που έχει την ικανότητα να δημιουργεί νέο περιεχόμενο, όπως κείμενο, εικόνες, ήχο, βίντεο, ακόμα και κώδικα. Τα μοντέλα αυτά εκπαιδεύονται με τεράστιες ποσότητες δεδομένων και μαθαίνουν σταδιακά τα πρότυπα που υπάρχουν στα δεδομένα αυτά, ώστε να μπορούν να δημιουργήσουν κάτι καινούριο που μοιάζει ρεαλιστικό.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Το AI slopsquatting γίνεται ο νέος κίνδυνος της εφοδιαστικής αλυσίδας
https://www.secnews.gr/646161/ai-slopsquatting-ginetai-neos-kindinos-eodiastikis-alisidas/
Apr 14th 2025, 10:10
by Absenta Mia
Μια νέα κατηγορία επιθέσεων στην αλυσίδα εφοδιασμού, γνωστή ως 'slopsquatting', έχει προκύψει από την αυξανόμενη χρήση εργαλείων generative AI για προγραμματισμό και την τάση του μοντέλου να "παραποιεί" ανύπαρκτα ονόματα πακέτων.
Δείτε επίσης: Η Amazon παρουσίασε τον νέο AI agent "Nova Act"
Ο όρος slopsquatting επινοήθηκε από τον ερευνητή ασφάλειας Seth Larson ως παραλλαγή του typosquatting, μιας μεθόδου επίθεσης που παραπλανεί τους προγραμματιστές να εγκαταστήσουν κακόβουλα πακέτα χρησιμοποιώντας ονόματα που μοιάζουν πολύ με δημοφιλείς βιβλιοθήκες.
Σε αντίθεση με το typosquatting, το slopsquatting δεν βασίζεται σε ορθογραφικά λάθη. Αντίθετα, οι κακόβουλοι παράγοντες θα μπορούσαν να δημιουργήσουν κακόβουλα πακέτα σε καταλόγους όπως το PyPI και το npm, ονομάζοντάς τα με ονόματα που συχνά δημιουργούνται από μοντέλα τεχνητής νοημοσύνης σε παραδείγματα προγραμματισμού.
Μια ερευνητική εργασία σχετικά με το slopsquatting, που δημοσιεύθηκε τον Μάρτιο του 2025, αποδεικνύει ότι σε περίπου 20% των εξετασθέντων περιπτώσεων (576.000 παραγόμενα δείγματα κώδικα σε Python και JavaScript), τα προτεινόμενα πακέτα δεν υπήρχαν.
Η κατάσταση είναι χειρότερη σε ανοιχτού κώδικα LLMs όπως τα CodeLlama, DeepSeek, WizardCoder και Mistral, ενώ τα εμπορικά εργαλεία όπως το ChatGPT-4 παρουσίασαν επίσης το ίδιο θέμα, σε ποσοστό περίπου 5%, το οποίο είναι σημαντικό.
Δείτε ακόμα: Καναδάς: Έρευνα στο X για χρήση δεδομένων χρηστών για εκπαίδευση AI
Αν και ο αριθμός των μοναδικών ονομάτων πακέτων που καταγράφηκαν στην έρευνα ήταν μεγάλος, ξεπερνώντας τις 200.000, το 43% αυτών επαναλήφθηκε σταθερά σε παρόμοιες προτροπές, ενώ το 58% εμφανίστηκε τουλάχιστον μία φορά ξανά σε δέκα εκτελέσεις.
Το AI slopsquatting γίνεται ο νέος κίνδυνος της εφοδιαστικής αλυσίδας
Η έρευνα αποκάλυψε ότι το 38% αυτών των ονομάτων πακέτων που δημιουργήθηκαν φαινομενικά εμπνεύστηκαν από πραγματικά πακέτα, το 13% προήλθε από τυπογραφικά λάθη, και το υπόλοιπο, 51%, ήταν εντελώς επινοημένο.
Παρά το γεγονός ότι δεν υπάρχουν ενδείξεις ότι οι επιτιθέμενοι έχουν αρχίσει να εκμεταλλεύονται αυτόν τον νέο τύπο επίθεσης, οι ερευνητές της εταιρείας κυβερνοασφάλειας ανοιχτού κώδικα Socket προειδοποιούν ότι οι φανταστικές ονομασίες πακέτων είναι συχνές, επαναλαμβανόμενες και λογικά πειστικές, δημιουργώντας μια προβλέψιμη επιφάνεια επίθεσης που θα μπορούσε να αξιοποιηθεί εύκολα.
Ο μοναδικός τρόπος για να μειωθεί ο κίνδυνος του slopsquatting είναι να ελέγχονται τα ονόματα των πακέτων χειροκίνητα και να μην θεωρείται ποτέ ότι ένα πακέτο που αναφέρεται σε ένα κομμάτι κώδικα που έχει παραχθεί από AI είναι πραγματικό ή ασφαλές.
Δείτε επίσης: YouTube: Νέα generative AI video features για δημιουργία Shorts
Το Generative AI (ή Γενετική Τεχνητή Νοημοσύνη) είναι ένας τύπος τεχνητής νοημοσύνης που έχει την ικανότητα να δημιουργεί νέο περιεχόμενο, όπως κείμενο, εικόνες, ήχο, βίντεο, ακόμα και κώδικα. Τα μοντέλα αυτά εκπαιδεύονται με τεράστιες ποσότητες δεδομένων και μαθαίνουν σταδιακά τα πρότυπα που υπάρχουν στα δεδομένα αυτά, ώστε να μπορούν να δημιουργήσουν κάτι καινούριο που μοιάζει ρεαλιστικό.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
Σχόλια