AI 幻觉导致一种新的网络威胁：Slopsquatting

xylon

https://www.csoonline.com/articl ... -slopsquatting.html

xylon

攻击者可以将 AI 模型推荐的大量软件包武器化并分发，这些软件包实际上并不存在。

xylon

网络安全研究人员警告说，一种新型的供应链攻击 Slopsquatting 是由一个幻觉生成式 AI 模型引起的，该模型推荐不存在的依赖关系。
根据德克萨斯大学圣安东尼奥分校、弗吉尼亚理工大学和俄克拉哈马大学的一个团队的研究，包裹幻觉在大型语言模型 （LLM） 生成的代码中很常见，威胁行为者可以利用这些代码。
研究人员在一篇论文中说：“Python 和 JavaScript 等流行的编程语言对集中式包存储库和开源软件的依赖，再加上代码生成 LLM 的出现，对软件供应链造成了一种新型的威胁：包幻觉。
通过对 GPT-4、GPT-3.5、CodeLlama、DeepSeek 和 Mistral 等 16 种代码生成模型的分析，研究人员观察到大约五分之一的推荐为假货的包。