AI-aikakausi tuo uuden ohjelmistotoimitusketjun uhan: slopsquatting
Tekoälyn koodausavustajien yleistyessä on noussut uusi uhka, 'slopsquatting'. Tämä hyökkäys hyödyntää tekoälyn virhetulkintoja ohjelmistouhkiin.

Valelukeminen, tunnetaan myös nimellä "slopsquatting", on uusi uhka ohjelmistojen toimitusketjuille, joka syntyy tekoälyn koodausavustajien käytön sivutuotteena. Kun kehittäjät turvautuvat yhä enemmän tekoälyyn koodin luomisessa, he saattavat tahattomasti avata ovia kyberrikollisille ohjelmistoihinsa jo projektin alkuvaiheessa.
Slopsquatting hyödyntää suuria kielimalleja (LLM) väärien pakettinimien luomiseen. Näitä luotuja, mutta olemattomia paketteja hakkeroijat voivat rekisteröidä omiin nimiinsä ja täyttää ne haittaohjelmilla. Kun tekoäly työkaluna ehdottaa tällaista kuvitteellista pakettia, kehittäjä voi lisätä sen suoraan koodipohjaansa luullen sen olevan aito ja turvallinen.
Määritelmä yhdistää "tekoälyropen" ja "typosquattingin", perinteisen hyökkäystavan, jossa rekisteröidään samankaltaisia tai kirjoitusvirheellisiä verkkotunnuksia houkuttelemaan käyttäjiä. Tekoälyn tapauksessa uhka on hienostuneempi, sillä se ei perustu pelkkiin kirjoitusvirheisiin, vaan kehittyneempiin, jaettuihin virhekuvioihin, joita mallit tuottavat.
Tutkimukset osoittavat, että tekoälyn tuottamien pakettinimien virheiden määrä kasvaa nopeasti. Vaikka suljetun lähdekoodin mallit ovat osoittautuneet hieman vakaammiksi, avoimen lähdekoodin mallit ovat alttiimpia. Tämä lisää riskiä organisaatioille, jotka käyttävät avoimen lähdekoodin tekoälytyökaluja koodin kehityksessä. Kehittäjien onkin korostettava lähtökohtien tarkistamista ja varmistettava tekoälyn tuottamien ehdotusten turvallisuus.