Безопасность

Скрытые угрозы: как ИИ-помощники по написанию кода становятся оружием киберпреступников

Злоумышленники научились манипулировать ботами

1 мин.
Текст: София Лайтман
Скрытые угрозы: как ИИ-помощники по написанию кода становятся оружием киберпреступников

Магазин

Пополнить Apple ID, купить подписки, ключи для игр и ПО

В мире разработки программного обеспечения искусственный интеллект всё чаще используется для автоматизации процесса написания кода. Однако специалисты Pillar Security раскрыли тревожную тенденцию: популярные ИИ-ассистенты, включая GitHub Copilot и Cursor, могут быть скомпрометированы с помощью изощрённой атаки под названием Rules File Backdoor.

Киберпреступники нашли способ манипулировать ИИ через конфигурационные файлы, содержащие правила кодирования. Внедряя специальные невидимые символы Unicode злоумышленники создают замаскированные инструкции, которые обходят существующие системы безопасности. Эти скрытые команды заставляют ИИ-ассистентам генерировать код, содержащий потенциально опасные уязвимости.

Особую опасность представляет способность заражённых конфигурационных файлов распространяться вместе с проектами. При клонировании или форке репозиториев вредоносные правила переносятся в новые версии проекта, создавая эффект домино во всей цепочке поставок программного обеспечения. Это приводит к тому, что одна компрометированная конфигурация может поразить множество связанных проектов.

После публикации исследования в начале 2024 года представители разработчиков ИИ-инструментов рекомендовали пользователям более тщательно проверять генерируемый код. Тем не менее, эксперты Pillar Security предупреждают, что данная уязвимость создаёт серьёзные риски для всей экосистемы разработки ПО, так как превращает доверенные ИИ-системы в инструменты распространения уязвимостей.

Для минимизации рисков специалисты советуют:

  1. Регулярно проверять конфигурационные файлы с помощью специализированных инструментов для анализа.
  2. Использовать дополнительные системы контроля качества кода.
  3. Ограничить права доступа к конфигурационным файлам.
  4. Применять многоступенчатую систему проверки генерируемого кода.

Открытие уязвимости Rules File Backdoor демонстрирует, что даже самые современные технологии могут быть обращены против пользователей. Ситуация подчёркивает необходимость комплексного подхода к безопасности в области разработки программного обеспечения, особенно при использовании ИИ.

Ещё по теме:

Мы в Telegram, на Дзен, в Google News и YouTube

БезопасностьИскусственный интеллектCopilot


София Лайтман

София Лайтман

Помогаю превращать разные новости в истории.

Прошлый материал

Клавиатура с 1020 клавишами: печатает не буквы, а слова
Следующий материал

Учёные выяснили, что мешает эспрессо раскрыть вкус
Соцсети