Вайбкодеры оказались отличной мишенью для хакеров.
AI-ассистенты для написания кода, как и любая другая LLM, склонны к галлюцинациям, и частенько выдумывают несуществующие пакеты программ. В качестве примера в материале The Register приводят библиотеку async-mutex, которую нейросеть по ошибке называет async-mutex/mutex.
По недавней оценке, более 5% предложенных платными нейросетями пакетов не существуют, а для моделей с открытым исходным кодом этот показатель достигает почти 22%. Мошенники отслеживают подобные придуманные названия и создают репозитории под «левыми» именами. Внутри реестра на деле оказывается вредоносный код.
Ненаблюдательный вайбкодер получает от ИИ-ассистента код – он выполняет свою задачу, но одновременно внедряет вирусы на компьютер пользователя. В некоторых случаях атаки проводят прямо на сервер.
Хакер под псевдонимом Iain поставил создание фейковых библиотек на поток: названия для тысяч заражённых пакетов для него придумывает (внезапно) ChatGPT. Схема получила название slopsquatting, а Iain стал гуру мошенников – он даже выпустил видеокурсы по созданию и распространению вредоносных пакетов.
😭 Мир, где 95% кода пишет ИИ? А можно не надо?
