man programming in the dark
تكشف دراسة أن حزم الأكواد الذكاء الاصطناعي تفتح الأبواب للمتسللين
وقت القراءة: 3 دقائق
آخر التحديثات: May 1, 2025
-
![كيارا فابري]()
-
![فريق الترجمة والتوطين]()
ترجمة فريق الترجمة والتوطين خدمات الترجمة والتوطين
كثيرًا ما يتضمن الكود الذي تم إنشاؤه بواسطة الذكاء الصناعي مكتبات برمجية وهمية، مما يخلق فرصًا جديدة للقراصنة لاستغلال سلاسل التوريد ومساومة المستخدمين عبر منصات التطوير.
في عجلة من أمرك؟ ها هي الحقائق السريعة:
- مولدات الرموز البرمجية الذكاء الاصطناعي تتوهم اعتمادات البرامج غير الموجودة.
- تم العثور على 440,000 حزمة متوهمة في 576,000 عينة رمز برمجي تم إنشاؤها بواسطة الذكاء الاصطناعي.
- النماذج المفتوحة المصدر تتوهم 4 أضعاف ما تتوهمه النماذج التجارية.
تشير الأبحاث إلى أن الرمز الذي يتم إنشاؤه بواسطة أدوات الذكاء الاصطناعي يخلق ثغرات أمنية كبيرة تهدد سلسلة الإمداد للبرمجيات. أشارت البحث، الذي تم الإبلاغ عنه لأول مرة بواسطة Ars Technica، إلى أن نماذج اللغة الكبيرة (LLMs) التي تعمل بطريقة مشابهة لأنظمة ChatGPT تنتج اعتمادات رمزية غير حقيقية يمكن أن يستخدمها القراصنة بشكل محتمل لأغراض ضارة.
تقارير Ars تفيد بأن الباحثين قاموا بتقييم 16 نموذجا من الذكاء الصناعي المستخدم على نطاق واسع من خلال إنشاء 576,000 نموذج من الأكواد. كشفت التحليلات أنه تم تخيل 440,000 إشارة لحزم برمجية لأنها كانت تشير إلى مكتبات أكواد غير موجودة.
تشكل وجود هذه التبعيات المكونة بشكل غير حقيقي خطرا أمنيا كبيرا. تشير تقارير Ars إلى أن المهاجمين يمكنهم التعرف على اقتراحات الذكاء الصناعي المتكررة لأسماء الحزم وتحميل حزم ضارة تحت هذه الأسماء. يكتسب المهاجم السيطرة على نظام المطور عندما يقوم بتثبيت الكود الخبيث دون علمه.
“بمجرد أن ينشر المهاجم حزمة تحت اسم مُهلوس به، يحتوي على بعض الأكواد الخبيثة، يعتمدون على النموذج الذي يقترح هذا الاسم على المستخدمين دون ضنك،” كما ذكر جوزيف سبراكلين، طالب الدكتوراه في جامعة تكساس في سان أنطونيو والباحث الرئيسي، كما نقلته Ars.
“إذا كان المستخدم يثق في ناتج LLM ويقوم بتثبيت الحزمة دون التحقق منها بعناية، فسيتم تنفيذ حمولة المهاجم، المخفية في الحزمة الخبيثة، على نظام المستخدم،” أضاف سبراكلين.
تعتمد طريقة الهجوم على خداع البرنامج لاختيار نسخة خطيرة من الحزمة بدلاً من النسخة الصحيحة المقصودة، كما أفادت Ars. تأثرت شركات التكنولوجيا الكبرى، بما في ذلك Apple وMicrosoft وTesla، بالهجوم الذي يستهدف الاعتماد على الباقات خلال الاختبارات السابقة.
اكتشف الباحثون أن النماذج المفتوحة المصدر، مثل CodeLlama، أنتجت المزيد من الحزم المخلوطة بالخيال أكثر من النماذج التجارية. أنتجت النماذج المفتوحة المصدر رموزًا خاطئة بنسبة 22٪، بينما أنتجت النماذج التجارية هلوسات بنسبة 5٪ أو أقل. تجربتها اللغة البرمجة JavaScript أكثر هلوسة من Python لأنها تعمل ضمن نظام رمز أكبر وأكثر تعقيدًا.
وفقًا للدراسة، فإن هذه ليست مجرد أخطاء فردية. أفادت الدراسة أن العديد من الحزم المزيفة ظهرت مرارًا وتكرارًا في اختبارات مختلفة، مما يجعلها أكثر خطورة لأنها يمكن أن تكون هدفًا أكثر سهولة للمهاجمين.
تشرح Ars أن المهاجمين قد يستغلون تكرار أسماء الحزم المزيفة عن طريق تحميل البرامج الضارة تحت هذه الأسماء، على أمل أن يقوم المطورون بتثبيتها دون علم.
القصة السابقة
أحدث المقالات 
