itnews發佈一篇ChatGPT可能助長軟體供應鏈攻擊
ChatGPT是一種由OpenAI開發的大型語言模型,可以生成自然語言對話。然而,這種技術也可能被惡意利用,對軟體開發者造成威脅。根據安全公司Vulcan的研究,ChatGPT有時會“產生幻覺”,即生成一些不存在的URL、引用或代碼庫。如果攻擊者利用這些幻覺,就可以在開發環境中傳播惡意軟體包,而不需要使用常見的技巧,如錯別字或偽裝。Vulcan稱這種技術為“AI軟體包幻覺”,並通過向ChatGPT提出一些流行的問題來測試其效果。結果發現,ChatGPT推薦了許多不存在的Python和Node.js軟體包,並提供了錯誤的連結。如果攻擊者在這些連結上發布惡意軟體包,就可能欺騙用戶下載和使用它們。此外,微軟也計劃擴大對ChatGPT的訪問權限,這可能增加了安全風險。Meta也表示發現了一些利用ChatGPT相關的惡意應用和瀏覽器擴展,類似於加密貨幣相關的惡意軟體。
詳情請看: