Mislili biste da je umjetna inteligencija (AI) blagodat za programere. Uostalom, nedavna Google anketa pokazala je da se 75% programera oslanja na AI. S druge strane, gotovo 40% izvještava o “malo ili nikakvom povjerenju” u AI. Održavači projekata otvorenog koda-ljudi koji upravljaju softverom-mogu razumjeti tu činjenicu.
Sadržaj objave
Mnogi AI LLM -ovi ne mogu isporučiti upotrebljivi kod
Prvo, mnogi AI veliki jezični modeli (LLMS) ne mogu isporučiti upotrebljivi kod za čak jednostavne projekte. Daleko više zabrinjavajuće, međutim, jest da održavači otvorenog koda otkrivaju da hakeri oružje AI da potkopaju temelje otvorenih izvora projekata.
Također: odlaganje otvorenog koda za vlasništvo rijetko se isplati: Bolje zalijepiti vilicu u njemu
Kao Greg Kroah-Hartman, Linux stabilni održavač kernela, primijećen početkom 2024. godine, uobičajene ranjivosti i izloženosti (CVE), glavni popis sigurnosnih rupa “zlostavljaju programeri sigurnosti koji žele podstignuti njihove životopise. “Oni podnose mnoge” glupe stvari. “S AI alatima za skeniranje, brojne se CVE -a daju za greške koje ne postoje. Ove sigurnosne rupe ocijenjene su prema njihovoj razini opasnosti koristeći Uobičajeni sustav bodovanja ranjivosti (CVSS).
Što je još gore, kao što je primijetio Dan Lorenic, izvršni direktor sigurnosne kompanije Chainguard, Nacionalna baza podataka o ranjivosti (NVD), koja nadgleda CVES, bila je nedovoljna i preplavljena, tako da možemo “Očekujte ogroman zaostatak unosa i lažnih negativa.”
Gubljenje dragocjenog vremena na lažne sigurnosne probleme
S vladom Rezovi zaposlenika očekuju se za matičnu organizaciju NVD -aOva poplava lažnih izvješća o sigurnosti koja je generirala AI, koja će ga unositi na popise CVE-a, samo će se povećati. To, zauzvrat, znači da će programeri, održavači i korisnici svi trebati gubiti dragocjeno vrijeme na lažna sigurnosna pitanja.
Neki projekti otvorenog koda, poput Curla, u potpunosti su odustali od CVE-a. Kao što je Daniel Steinberg, vođa Curla, rekao: “CVSS nam je mrtav.“
Također: zašto Mark Zuckerberg tako loše želi redefinirati otvoreni izvor
Daleko je od jedinog koji je vidio ovaj problem.
Seth Larson, Python Software Foundation Security Developer-In-Residence, napisao je: “Nedavno sam primijetio uspon u izuzetno kvalitetnoj, Spamyju i sigurnosnim izvješćima u LLM-u na projekte otvorenih izvora. Pitanje je to u Starost LLMS -a, ova se izvješća na prvi pogled pojavljuju kao potencijalno legitimna i stoga zahtijevaju vrijeme za opovrgavanje. ” Larson vjeruje u ova Slop izvješća “treba tretirati kao da su zlonamjerni.“
Zakrpe koje uvode nove ranjivosti ili pozadine
Zašto? Jer ove flastere, iako se na prvi pogled pojavljuju legitimno sadrže kôd To je potpuno pogrešno i nefunkcionalno. U najgorem slučaju, ove će zakrpe, Zaklada za sigurnost otvorenog koda (OpenSSF) predviđaUvedite nove ranjivosti ili zaostatak.
Pored lažnih zakrpa i sigurnosnih izvještaja, AI se zapošljava kako bi stvorio niz zahtjeva za značajku u različitim spremištima otvorenog koda. Ovi zahtjevi, iako ponekad izgledaju inovativni ili korisni, često su nepraktični, nepotrebni ili jednostavno nemoguće provesti. Čitav volumen ovih Ai-generiranih zahtjeva nadvladava održavače, što otežava razlikovanje istinskih potreba korisnika od umjetne buke.
Također: sada imamo službenu AI definiciju otvorenog koda, ali borba je daleko od završetka
Jeff Potliuk, održavač za Apache Airflow, platformu za upravljanje radom otvorenog koda, izvijestio je da je tvrtka Outlier AI potaknula svoje članove da objavljuju probleme u projektu “koji nema smisla i su kopije drugih pitanja ili potpuno beskorisni i nemaju smisla. Ovo je potrebno dragocjeno vrijeme održavanja koji moraju procijeniti i zatvoriti pitanja. Moja istraga pratila vam je izvor problema – gdje vaši instruktivni videozapisi prevare ljude da stvaraju te probleme – očito treniraju svoj AI. “
Ova pitanja vođena AI zabilježena su i u Curl i React. Da citiram Potliuk: “Ovo je pogrešno na toliko razina. Molim vas, prestanite. Dajete zajednici štetu.”
Lažni doprinosi
Mehanika obmane koja stoji iza ovih lažnih doprinosa postaje sve sofisticiranija. AI modeli sada mogu proizvesti isječke koda koji, iako nefunkcionalni, izgledaju sintaktički ispravno i kontekstualno relevantno. Pored toga, AI generira detaljna objašnjenja koja oponašaju jezik i stil istinskog suradnika. Dodavanje uvrede ozljedi, prema OpenSSF -u, Neki napadači koriste AI za stvaranje lažnih internetskih identitetazajedno s GitHub povijesti koje sadrže tisuće manjih, ali naizgled legitimnih doprinosa.
Posljedice ove kampanje za neželjenu poštu otvorenog koda usmjerene na AI-a AI-a su dalekosežne. Osim što održavači troše vrijeme prosijavajući i razbijajući lažne doprinose, ovaj priljev neželjene pošte potkopava povjerenje koje čini podlogu suradnje otvorenog koda.
Strože smjernice i postupci provjere
Zajednica otvorenog koda ne stoji mirno pred ovom prijetnjom. Projekti provode strože smjernice za doprinos i procese provjere kako bi se uklonili sadržaj koji je generirao na AI. Osim toga, održavači dijele iskustva i najbolje prakse za identificiranje i bavljenje neželjenom kodom koji je generirao AI.
Također: Red Hat preuzima otvoreni koznik AI: Pragmatizam preko utopijskih snova
Kako se bitka protiv obmane generirane na AI-a u projektima otvorenog izvora nastavlja, zajednica se suočava s kritičkim izazovom: očuvanjem suradničkog duha razvoja otvorenog koda, istovremeno braneći od sve sofisticiranijeg i automatiziranih pokušaja manipulacije.
Kao programer otvorenog koda Navendu Potekkat napisao je: “Molim vas, nemojte to pretvarati u fest “hajde da neželjenu neželjenu projektima”.“Molim vas, molim vas, nemojte. Ako cijenite Open Source, ne igrajte AI igre s njim.
Povezani sadržaji
Qualcomm potvrđuje ime sljedećeg vodećeg Snapdragon 8 čip
Comms Consortium poziva na veću budnost na sigurnosnoj sigurnosti kabela
Kako pravilno sjediti za računalom?
10 stvari koje uvijek radim nakon instaliranja ubuntu kako bih odmah poboljšao iskustvo
Promijenite postavke UAC kontrole korisničkog računa u Windows 7 sustavu
Alat za naredbeni redak Blizanci je skrivena izmjena igre za produktivnost – i besplatno je
