Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Неделя безопасности: галлюцинации ИИ связаны с риском в цепочке поставок программного обеспечения, исправление CI считается критическим
Главная » Календарь редакций » Безопасность цепочки поставок программного обеспечения » Неделя безопасности: галлюцинации ИИ, связанные с риском в цепочке поставок программного обеспечения, исправление CI считается критическим
Добро пожаловать на последний выпуск «Недели безопасности», в котором представлены новейшие новости со всего мира и от нашей команды по всему спектру безопасности: безопасности приложений, кибербезопасности и т. д. На этой неделе: галлюцинации ChatGPT представляют угрозу для цепочки поставок программного обеспечения. А также: Уполномоченная Конгрессом наблюдательная группа считает, что Белому дому необходимо активизировать усилия по обеспечению безопасности критически важной инфраструктуры.
Исследователи из исследовательской группы Voyager18 компании Vulcan Cyber обнаружили, что злоумышленники могут использовать ложные рекомендации ChatGPT для распространения вредоносного кода через разработчиков, которые полагаются на этот инструмент. Это открытие представляет огромный риск для цепочек поставок программного обеспечения, поскольку разработчики могут случайно вставить вредоносный код и трояны в приложения и репозитории с открытым исходным кодом. В этих репозиториях, таких как npm и PyPI, уже наблюдается значительный рост атак на их платформы, и этот новый риск, связанный с ChatGPT, обязательно только усугубит проблему.
Исследователи полагают, что злоумышленники могут использовать так называемые «галлюцинации пакетов искусственного интеллекта» для создания рекомендованных ChatGPT пакетов, которые на самом деле являются вредоносными. Галлюцинации в этом сценарии определяются как реальные реакции ИИ, которые являются недостаточными, предвзятыми или ложными. Это происходит потому, что ChatGPT использует источники из Интернета, даже неверные и вредоносные, для генерации ответов для пользователей.
Злоумышленники могут использовать это в своих интересах, опубликовав собственную вредоносную версию предлагаемого программного пакета, созданного ChatGPT. Злоумышленник надеется, что ChatGPT затем примет вредоносный пакет в качестве источника и предоставит его в качестве рекомендации разработчикам, использующим машину с искусственным интеллектом. Разработчики, которые случайно загружают эти вредоносные пакеты через ChatGPT, могут использовать их как в частных проектах, так и в репозиториях с открытым исходным кодом, создавая потенциальный риск для бесконечного числа цепочек поставок программного обеспечения.
С момента выпуска ChatGPT в ноябре 2022 года он стал популярным инструментом как для разработчиков, так и для злоумышленников. Это заставило сообщество кибербезопасности смириться с тем, что искусственный интеллект может радикально изменить способы обеспечения наилучшей защиты наших систем и цепочек поставок.
Вот истории, которым мы уделяем внимание на этой неделе…
Политика правительства США, направленная на защиту критической инфраструктуры от хакеров, крайне устарела и неадекватна для защиты таких секторов, как водоснабжение и транспорт, от киберугроз, заявила влиятельная группа экспертов, уполномоченная Конгрессом.
Группа Clop, банда киберпреступников, предположительно базирующаяся в России, выдвинула «ультиматум» компаниям в Великобритании и других странах, которые стали жертвами недавнего крупномасштабного взлома данных о заработной плате. Данные о заработной плате более чем 100 000 сотрудников были украдены в таких компаниях, как BBC, British Airways и других.
Северокорейский субъект угрозы национальному государству, известный как Кимсуки, был связан с кампанией социальной инженерии, нацеленной на экспертов по делам Северной Кореи с целью кражи учетных данных Google и доставки разведывательного вредоносного ПО. Раскрытие информации произошло через несколько дней после того, как спецслужбы США и Южной Кореи выпустили тревожное предупреждение об использовании Кимсуки тактики социальной инженерии для нанесения ударов по аналитическим центрам, научным кругам и секторам средств массовой информации.
Банда Royal, занимающаяся вымогательством, начала тестирование нового шифровальщика под названием BlackSuit, который во многом похож на обычный шифровальщик операции. Банда была создана в январе 2023 года и считается прямым преемником пресловутой операции Конти, завершившейся в июне 2022 года.
В выпуске на прошлой неделе мы сообщили о недавнем обнаружении уязвимости в электронной почте Barracuda, которая оставалась открытой в течение нескольких месяцев. Теперь компания призывает клиентов немедленно заменить взломанные устройства Email Security Gateway (ESG), даже если они установили все доступные исправления.