Лента новостей безопасное использование ИИ-инструментов, безопасность языковых моделей, защита от вредоносных пакетов, ИИ-модели и безопасность, предотвращение атак через пакеты, проблемы безопасности в PyPI, проверка пакетов перед установкой, слопсквоттинг в пакетах I ROBOT 28 июля, 2025 0 Комментарии

Защита от слопсквоттинга в PyPI с помощью безопасных практик программирования

Безопасность языковых моделей: как защититься от вредоносных пакетов?

Представьте, что вы работаете с языковыми моделями и вдруг обнаруживаете, что они предлагают вам установить пакеты, которых не существует. Это как попытка найти книгу в библиотеке, но ее там нет. Такое явление связано с так называемым слопсквоттингом, когда злоумышленники могут создавать пакеты с названиями, которые часто «выдумывают» ИИ-модели.

Недавно разработчики PyPI обнаружили активность, которую сочли масштабной вредоносной кампанией. Оказалось, что более 250 новых учетных записей и свыше 1500 новых проектов были созданы за короткий период времени. Однако, после расследования, выяснилось, что за этими действиями стояли специалисты по безопасности из компании Mail.ru (VK), которая владеет доменом inboxru.

Эти специалисты создавали пакеты с названиями, которые могли бы быть использованы злоумышленниками для атак, тем самым «заняв» их и предотвращая возможные проблемы безопасности в PyPI. Это был тест на выявление потенциальных проблем безопасности, и не было никакой реальной вредоносной кампании.

Разработчики PyPI отметили, что блокировка домена inboxru была снята, и пользователи снова могут регистрировать аккаунты с адресами электронной почты в этом домене. Этот инцидент показывает, как важно быть бдительным при установке пакетов и не полагаться исключительно на рекомендации ИИ. Это связано с тем, что ИИ-модели и безопасность тесно связаны, и неправильное использование ИИ может привести к предотвращению атак через пакеты.

Стоит отметить, что ИИ-модели склонны к «галлюцинациям» и могут предлагать несуществующие пакеты. В одном из исследований было обнаружено, что примерно в 20% случаев рекомендуемые ИИ пакеты не существуют. Это подчеркивает важность проверки пакетов перед установкой и осторожности при работе с языковыми моделями и кодом.

Итак, всегда проверяйте, что именно вы устанавливаете, и не копируйте названия пакетов, которые советует ИИ или кто-то случайный из интернета. Это поможет вам избежать потенциальных проблем безопасности в PyPI и сохранить вашу систему в безопасности. Кроме того, необходимо быть осторожным при использовании генеративных ИИ-инструментов для кодинга, поскольку они могут привести к созданию уязвимостей в вашей системе. Поэтому, всегда используйте проверенные и безопасные источники, и будьте внимательны к рекомендациям ИИ.

Таким образом, важно понимать, как защититься от вредоносных пакетов и как использовать ИИ-инструменты безопасно. Для этого необходимо быть осведомленным о потенциальных проблемах безопасности в PyPI и всегда проверять информацию перед установкой пакетов.

Больше новостей в нашем телеграм канале I ROBOT