'Slopsquatting'-termillä tarkoitetaan sitä, kun hallusinoituja/virheellisiä ohjelmointikirjastoja hyödynnetään ikäviin tarkoituksiin. Kun kirjaston nimi hallusinoidaan (sitä ei ole), normaalisti lopputulos olisi virheilmoitus.
1/
Kun sitten pahaa tahtova taho luokin sellaisen kirjaston, jota "ei ole olemassa" perustuen yleisimmin tunnettuihin LLM-hallusinointeihin, pahaa-aavistamaton aloitteleva koodaaja päätyy avaamaan oman koodinsa mahdollisesti merkittävillekin haavoittuvuuksille – ja LLM-koodista tulee haittaohjelma.
2/
Haittapakettien varmistaminenkin voi olla vaikeaa, sillä esim. Google-tulokset voivat antaa ylistävän tiivistelmän haittapaketin sisällöstä, sillä se saattaa perustaa hakutuloksen ja arvion itse paketin README-tiedostoon.
Avoimissa malleissa tekaistuja kirjastoja voi olla jopa viidesosa.
3/3
Ote artikkelista: A new class of supply chain attacks named 'slopsquatting' has emerged from the increased use of generative AI tools for coding and the model's tendency to "hallucinate" non-existent package names.
Vastaa