Добавить в корзинуПозвонить
Найти в Дзене
Apple SPb Event
7330 подписчиков

Скрытые угрозы: как ИИ-помощники по написанию кода становятся оружием киберпреступников

319
1 мин
В мире разработки программного обеспечения искусственный интеллект всё чаще используется для автоматизации процесса написания кода. Однако специалисты Pillar Security раскрыли тревожную тенденцию: популярные ИИ-ассистенты, включая GitHub Copilot и Cursor, могут быть скомпрометированы с помощью изощрённой атаки под названием Rules File Backdoor. Киберпреступники нашли способ манипулировать ИИ через конфигурационные файлы, содержащие правила кодирования. Внедряя специальные невидимые символы Unicode злоумышленники создают замаскированные инструкции, которые обходят существующие системы безопасности. Эти скрытые команды заставляют ИИ-ассистентам генерировать код, содержащий потенциально опасные уязвимости. Особую опасность представляет способность заражённых конфигурационных файлов распространяться вместе с проектами. При клонировании или форке репозиториев вредоносные правила переносятся в новые версии проекта, создавая эффект домино во всей цепочке поставок программного обеспечения. Это

В мире разработки программного обеспечения искусственный интеллект всё чаще используется для автоматизации процесса написания кода. Однако специалисты Pillar Security раскрыли тревожную тенденцию: популярные ИИ-ассистенты, включая GitHub Copilot и Cursor, могут быть скомпрометированы с помощью изощрённой атаки под названием Rules File Backdoor.

Киберпреступники нашли способ манипулировать ИИ через конфигурационные файлы, содержащие правила кодирования. Внедряя специальные невидимые символы Unicode злоумышленники создают замаскированные инструкции, которые обходят существующие системы безопасности. Эти скрытые команды заставляют ИИ-ассистентам генерировать код, содержащий потенциально опасные уязвимости.

Особую опасность представляет способность заражённых конфигурационных файлов распространяться вместе с проектами. При клонировании или форке репозиториев вредоносные правила переносятся в новые версии проекта, создавая эффект домино во всей цепочке поставок программного обеспечения. Это приводит к тому, что одна компрометированная конфигурация может поразить множество связанных проектов.

-2

После публикации исследования в начале 2024 года представители разработчиков ИИ-инструментов рекомендовали пользователям более тщательно проверять генерируемый код. Тем не менее, эксперты Pillar Security предупреждают, что данная уязвимость создаёт серьёзные риски для всей экосистемы разработки ПО, так как превращает доверенные ИИ-системы в инструменты распространения уязвимостей.

Для минимизации рисков специалисты советуют:

  1. Регулярно проверять конфигурационные файлы с помощью специализированных инструментов для анализа.
  2. Использовать дополнительные системы контроля качества кода.
  3. Ограничить права доступа к конфигурационным файлам.
  4. Применять многоступенчатую систему проверки генерируемого кода.

Открытие уязвимости Rules File Backdoor демонстрирует, что даже самые современные технологии могут быть обращены против пользователей. Ситуация подчёркивает необходимость комплексного подхода к безопасности в области разработки программного обеспечения, особенно при использовании ИИ.

Ещё по теме:

1
Кибербезопасность
25,6 тыс интересуются