ภาพหลอนของ AI สร้างภัยคุกคามต่อห่วงโซ่อุปทานซอฟต์แวร์รูปแบบใหม่

ภาพหลอนของ AI สร้างภัยคุกคามต่อห่วงโซ่อุปทานซอฟต์แวร์รูปแบบใหม่

ภัยคุกคามในห่วงโซ่อุปทานซอฟต์แวร์ที่เกิดจาก “package hallucinations” หรือที่รู้จักกันในชื่อ “slopsquatting” ซึ่งเป็นผลพลอยได้จากการที่โมเดลภาษาใหญ่ (LLMs) สำหรับการสร้างโค้ดสร้างหรือแนะนำชื่อแพ็คเกจขึ้นมาโดยไม่เคยมีอยู่จริง นักวิจัยจากมหาวิทยาลัย Texas at San Antonio, University of Oklahoma และ Virginia Tech พบว่าเมื่อผู้พัฒนารับคำแนะนำจาก LLM ในการติดตั้งแพ็คเกจ พวกเขาอาจดาวน์โหลดแพ็คเกจที่เป็นอันตราย ซึ่งผู้โจมตีก่อนหน้านี้ได้ปล่อยออกมาในชื่อเดียวกับแพ็คเกจหลอนเหล่านี้ ผลการทดสอบของนักวิจัยเผยว่า ในการทดสอบ 16 โมเดลสำหรับการสร้างโค้ด พบว่ามีการ “hallucinate” ชื่อแพ็คเกจขึ้นมารวมทั้งหมด 205,474 ชื่อ ซึ่งคิดเป็นประมาณ 19.7% ของคำสั่งแพ็คเกจที่ได้รับ จากโมเดลเชิงพาณิชย์พบอัตราการเกิดขึ้นเริ่มต้นที่ 5.2% ในขณะที่โมเดลเปิดเผยอัตราที่สูงถึง 21.7% นอกจากนี้ ปรากฏการณ์เหล่านี้มีแนวโน้มที่จะเกิดซ้ำในหลายครั้งในแต่ละโมเดล (ซ้ำในราว 58% ภายใน 10 ครั้ง)

ภัยคุกคามในลักษณะนี้ถือเป็นรูปแบบใหม่ของการโจมตีในซัพพลายเชนซอฟต์แวร์ โดยที่ผู้โจมตีสามารถใช้ชื่อแพ็คเกจที่เกิดจาก “hallucinations” มาสร้างแพ็คเกจที่มีเจตนาร้ายขึ้นเอง เมื่อผู้พัฒนามีแนวโน้มที่จะรวมหรือพึ่งพาแพ็คเกจเหล่านี้ในโค้ดของตน โอกาสที่จะเกิดการคอมไพรส์ทั้งระบบหรือฐานโค้ดทั้งหมดก็จะเพิ่มสูงขึ้นตามไปด้วย

เพื่อรับมือกับปัญหานี้ นักวิจัยเสนอแนวทางแก้ไขหลายประการ เช่น การปรับปรุง prompt ผ่านเทคนิค Retrieval Augmented Generation (RAG) การทำ self-refinement และ prompt tuning รวมไปถึงการพัฒนาวิธีการถอดรหัส (decoding strategies) หรือการฝึกสอนโมเดลภายใต้การกำกับ (supervised fine-tuning) แนวทางเหล่านี้มีจุดมุ่งหมายเพื่อลดการเกิด package hallucinations และสร้างความน่าเชื่อถือในผลลัพธ์ที่ได้รับจาก LLMs ในอนาคต

ที่มา: securityweek

ติดต่อสอบถามเกี่ยวกับผลิตภัณฑ์ AntiVirus, DLP, MDM, Laptop, PC, Server, และผลิตภัณฑ์ไอทีอื่นๆอีกมากมายทั้ง Hardware และ Software พร้อมเสนอราคาที่คุ้มค่าและการบริการที่เปี่ยมประสิทธิภาพ

Mobile: 09 5368 5898

Tel: 0 2093 1625

Fax: 0 2093 1675 (Auto)

Email: sales@ampomicrosys.com