AI代是软件工程过程的深刻变化。堆栈Overflow 2024全球开发人员调查显示,有76%的受访者使用或计划在编码过程中使用AI工具,而“ AI代码写作”逐渐成为一种传统的工作方法。在中国,这种趋势同样快。 2024年开发人员调查报告表明,有69%的国家开发商已经在日常工作中使用了AI工具。一项由三所美国大学在2025年共同发表的一项研究,对幻觉和“斜率”的依赖性表明,当开源语言的主要模型生成代码时,平均21.7%的依赖套件是“幻想”。该业务模型的比例也达到5.2%。基于此,攻击者得出了“等待待处理”。特别监视AI附加的虚构软件包的名称,对其进行注册并嵌入恶意代码。如果开发人员无条件接受助手建议,则可以自动编写TCI/CD管中的Rojan单位,恶意代码从开发环境扩展到生产系统。 2023年底的Huggingface-CLI事件是一个关注点。该名称最初是由IA助手反复产生的“幽灵依赖”。它由研究人员在PYPI上注册,然后在几天内下载并由数千个开发人员组成。幸运的是,测试包没有嵌入恶意的有效载荷。如果这是一个真正的黑客工作,那么相同的漏洞就足以使同一漏洞同时“击中”。控制点:有关AI与AI供应链安全安全技术的新想法指向由依赖AI参与者的开发人员形成的“可信真真空”,这些人被计算机海盗滥用。从这个意义上讲,检查站一直强调近年来“ AI与AI”战略的重要性。检查点用户可以使用威胁的AI连续分析全局点头es。当发现未知风险时,我们将立即阻止锁定,以防止漏洞进入生产链接。对于开发人员而言,这意味着将“盲评”转换为“ AI先验 +人类审查”的双重保险,而无需牺牲效率。行动的开发和安全设备建议必须采取严格的实际步骤,以有效解决依赖管理漏洞。首先,对AI产生的提案的怀疑论者不应盲目相信这些提案的依赖性。实施严格的验证过程,手动验证未知软件包的名称,并始终使用封锁的文件,固定版本和加密哈希的验证。此外,维护内部镜像或信任套餐的白色列表可以显着降低受新恶意软件包影响的风险。研究人员尝试了多种减少幻觉的方法,包括增强搜索生成(RAG)和Finely监视了精细调整。尽管这些技术大大降低了幻觉的发生率(最高85%),但它们也具有重要的补偿,对代码的一般质量产生负面影响。这强调了需要一种全面的安全解决方案,该解决方案允许在不牺牲发展效率的情况下主动识别威胁。结论IA编码助手已经达到了更高的速度开发水平,并以“稳定的“速度”时代的“速度”成为供应链的保护。当“幽灵依赖”成为一个新的攻击门户时,只有在使用最聪明的AI启用的AI符合的AI,才能维持软件供应链中的最后一条防线,而该供应链中的最后一个防御能力才能维护。小编:AI代是软件工程过程的深刻变化。堆栈溢出2024全球开发人员调查表明,
当前网址:https://www.4e534b.com//a/meishi/273.html
