セキュリティ週間: AI の幻覚はソフトウェア サプライ チェーンのリスクに関連し、CI の修正は重要とみなされます

ホーム » 編集カレンダー » ソフトウェア サプライ チェーン セキュリティ » セキュリティ週間: AI の幻覚はソフトウェア サプライ チェーンのリスクに関連し、CI 修正は重要とみなされます

The Week in Security の最新版へようこそ。この週間では、アプリケーション セキュリティ、サイバーセキュリティなど、セキュリティのフルスタックにわたる世界と当社のチームの両方からの最新のヘッドラインをお届けします。 今週: ChatGPT 幻覚はソフトウェア サプライ チェーンの脅威をもたらします。 また、議会が義務付けた監視グループは、ホワイトハウスが重要インフラの安全確保に向けて取り組みを強化する必要があると考えている。

Vulcan Cyber​​ の Voyager18 研究チームの研究者は、脅威アクターが ChatGPT の誤った推奨事項を悪用して、このツールに依存する開発者を介して悪意のあるコードを拡散できることを発見しました。 この発見は、悪意のあるコードやトロイの木馬が開発者によってアプリケーションやオープンソース コード リポジトリに誤って挿入される可能性があるため、ソフトウェア サプライ チェーンに計り知れないリスクをもたらします。 npm や PyPI などのこれらのリポジトリでは、そのプラットフォームに対する攻撃がすでに大幅に増加しており、ChatGPT に関連するこの新たなリスクは問題を悪化させるだけであることは間違いありません。

研究者は、攻撃者が「AI パッケージの幻覚」と呼ばれるものを利用して、実際には悪意のある ChatGPT 推奨パッケージを作成できると考えています。 このシナリオにおける幻覚は、不十分、偏り、または誤った実際の AI 応答として定義されます。 これらは、ChatGPT がインターネット全体のソース (不正確で悪意のあるものであっても) を使用してユーザーへの応答を生成するために発生します。

攻撃者は、推奨される ChatGPT 製ソフトウェア パッケージの独自の悪意のあるバージョンを公開することにより、これを有利に利用できます。 攻撃者の望みは、ChatGPT が悪意のあるパッケージをソースとして採用し、AI マシンを使用する開発者に推奨として与えることです。 ChatGPT 経由でこれらの悪意のあるパッケージを誤ってダウンロードした開発者は、それらをプライベート プロジェクトまたはオープン ソース リポジトリの両方で使用する可能性があり、無数のソフトウェア サプライ チェーンに潜在的なリスクを引き起こす可能性があります。

ChatGPT は 2022 年 11 月にリリースされて以来、開発者と脅威アクターの両方にとって人気のツールとなっています。 これにより、サイバーセキュリティ コミュニティは、AI がシステムとサプライ チェーンを保護する最善の方法をどのように劇的に変える可能性があるかについて、同意することを余儀なくされました。

今週の注目記事はこちら…

重要なインフラをハッカーから保護することを目的とした米国政府の政策はひどく時代遅れで、水道や交通などのセクターをサイバー脅威から守るには不十分であると、議会の権限を持つ影響力のある専門家グループは述べた。

ロシアに本拠を置くとされるサイバー犯罪組織クロップ・グループは、最近の給与データの大規模ハッキングの標的となった英国およびその他の国の企業に対して「最後通告」を出した。 BBCやブリティッシュ・エアウェイズなどの企業で10万人以上の従業員の給与データが盗まれた。

Kimsuky として知られる北朝鮮の国家を脅かす攻撃者は、Google の認証情報を盗み、偵察マルウェアを配信することを目的として、北朝鮮問題の専門家をターゲットにしたソーシャル エンジニアリング キャンペーンに関与しているとされています。 この暴露は、米国と韓国の情報機関がキムスキー氏がシンクタンク、学界、報道機関を攻撃するためにソーシャルエンジニアリング戦術を使用していると警告を発した数日後に行われた。

Royal ランサムウェア ギャングは、BlackSuit と呼ばれる新しい暗号化ツールのテストを開始しました。これは、この作戦の通常の暗号化ツールと多くの類似点があります。 このギャングは2023年1月に発足し、2022年6月に閉鎖された悪名高いコンティ作戦の直接の後継者であると考えられている。

先週の号では、何か月も放置されていたバラクーダ電子メールの欠陥が最近発見されたことを報告しました。 現在同社は、ハッキングされた電子メール セキュリティ ゲートウェイ (ESG) アプライアンスは、利用可能なパッチをすべてインストールしている場合でも、直ちに交換するよう顧客に伝えています。

*** これは、ReversingLabs Blog が提供する Security Bloggers Network のシンジケート ブログで、著者は Carolynn van Arsdale です。 元の投稿を読む: https://www.reversinglabs.com/blog/week-in-security-ai-hallucinations-risk