文章や画像を自動でつくる生成AI(人工知能)を悪用し、開発中のソフトウェアにマルウェア(悪意のあるプログラム)を潜ませるサイバー攻撃が可能であるとして、米セキュリティ企業のバルカンサイバーが注意喚起している。生成AIが誤って推奨した架空のオープンソースソフトウェア(OSS)を攻撃者が後付けで作成することで、マルウェアを含むOSSを拡散させることができるという。
ソフトウェア開発者は誰でも利用できるOSSを部品として利用する頻度が高くなっている。米企業の調査によると、代表的なプログラミング言語によるOSSは年間で約3兆回ダウンロードされており、3年前の約3倍以上となっている。一方、悪意のあるOSSを利用してしまうことで、完成したソフトウェアの利用者に影響が及ぶソフトウェアサプライチェーン攻撃の懸念も高まっている。
バルカンサイバーは開発者が情報交換するサイトでやりとりされた質問の中から特に頻度の高いものをまとめ、米オープンAIの対話型AI「Chat(チャット)GPT」に投げかけた。その結果、プログラミング言語「Python(パイソン)」に関する227個の質問のうち、80個以上で実際には存在しないOSSを利用するよう推奨した回答が得られた。生成AIが存在しない人やモノについてもっともらしく回答する現象は「ハルシネーション(幻覚)」と呼ばれ、問題視されている。
生成AIが回答した架空のOSSと同じ名前のOSSを攻撃者が自らつくり、マルウェアを仕込んだ上で公開すれば、他の開発者がAIから同様の回答を受けたときに悪意のあるOSSを利用してしまう恐れがあるという。バルカンサイバーは推奨されたOSSの情報を精査することが重要としている。
コメント