ما هو slopsquatting وكيفية تجنب ذلك

ما هو slopsquatting وكيفية تجنب ذلك


إذا كنت قد رأيت هذا المصطلح السبر غير السار يطفو حوله ، فمن المحتمل أن تتساءل ما الذي هو عليه وكيف قد يؤثر عليك بالضبط. هذا الهجوم السيئ ليس الأسهل في تحديد موقعه ، ولكن هناك طرق لتجنب ذلك للحفاظ على أكثر أمانًا.

ما هو slopsquatting

كل شيء يبدأ بهلوسة الذكاء الاصطناعي ، وهي أشياء تعوضها الذكاء الاصطناعي. لأغراض التهوية ، تقترح أدوات الذكاء الاصطناعى حزم المصدر المفتوح التي لا توجد بالفعل للمطورين لاستخدامها في الكود الخاص بهم.

لقد اكتشف مجرمي الإنترنت هلوسة منظمة العفو الدولية في كثير من الأحيان. يستفيدون من هذا العيب من خلال إنشاء حزم خبيثة باستخدام هذه الأسماء الملموسة وتحميلها إلى مضيفي مستودع الرمز الموثوق به مثل Github. عندما يطلب المطورون منصة الذكاء الاصطناعى المفضلة لديهم اقتراح حزمة مفتوحة المصدر ، يقترح chatbot أحد الأسماء الهلوسة التي يستخدمها مجرمو الإنترنت.

ChatGPT اقتراح الحزم. لا توجد اقتراحات خبيثة في هذه القائمة.

والنتيجة هي أن المطورين يقومون بإدخال هذه الحزم الخبيثة في برامجهم. بمجرد تشغيله ، يتم إلحاق الضرر ويمكن المهاجمون من الوصول إلى أي أجهزة يتم تنفيذ الرمز.

على الرغم من أن هذا قد لا يبدو وكأنه مشكلة رئيسية ، فقد وجدت إحدى الدراسات أنه من بين 16 نموذجًا من طراز AI ، لم يكن هناك ما يقرب من 20 في المائة من الحزم الموصى بها. والأسوأ من ذلك هو 43 في المائة من أسماء الحزم الملموسة المتكررة في كل مرة من أصل 10 أشواط مع نفس المطالبة. هذا يجعل من الأسهل بكثير على مجرمي الإنترنت اختيار الأسماء والحصول على حزمهم الضارة المقترحة واستخدامها بشكل متكرر.

في الدراسة ، كان Codellama أسوأ الجاني. من ناحية أخرى ، كان لدى GPT-4 Turbo أقل عدد من الهلوسة. لمجرد أن الخطر أقل ، فهذا لا يعني أنك آمن تمامًا.

الأشياء التي تحتاج إلى الانتباه إليها

سواء كنت مطورًا محترفًا أو غير رسمي أو مبتدئ تمامًا ، فأنت معرض لخطر التعثر. إنه في الواقع شكل من أشكال التحويل المطبعي ، حيث يكون الحرف الوحيد هو الفرق الوحيد بين المجال الآمن المشروع والخبيث. ولكن ، تمامًا مثل التصادم المطبعي ، يمكن تجنب التجنب إذا كنت تراقب هذه الأشياء الخمسة:

  1. أسماء الحزمة المطاطية قليلاً – هذا العلم الأحمر ليس ضمانًا ، خاصة وأن غالبية أسماء الحزم المصنوعة من الهلوس لا تحتوي على أي أخطاء مطبعية. ومع ذلك ، إذا لاحظت شيئًا ما أخطأ ، فكر مرتين قبل استخدامه.
  2. عدم وجود أي مناقشات أو ردود فعل – قد لا تكون الحزم التي لا تحتوي على مناقشات ضئيلة أو معدومة هي الأكثر أمانًا للاستخدام. قد يعني ذلك فقط أنهم يربحون العلامة التجارية الجديدة. أو ، يمكن أن يشير إلى أنها حزمة مزيفة تعتمد على اقتراحات الذكاء الاصطناعي للمطورين للعثور على واستخدامها ببراءة.
  3. تحذيرات من المطورين الآخرين – أعلم أنه من السهل الاعتماد فقط على اقتراحات الذكاء الاصطناعى ، لكن خذ لحظة لإجراء بعض الأبحاث الإضافية. استخدم محرك البحث المفضل لديك وشاهد ما يقوله الآخرون عن أي اقتراحات للحزمة قبل استخدامها بنفسك.
  4. لا تنصح بها منصات أخرى – إذا كان ذلك ممكنًا ، جرب نفس المطالبات أو المطالبات المماثلة على منصات ترميز منظمة العفو الدولية المتعددة. إذا كانت الحزمة نادرًا أو لا ينصح بها أبدًا ، فقد تكون علامة كبيرة على التعثر.
  5. أوصاف مربكة – أصبح من الأكثر شيوعًا للمطورين الاعتماد على “الترميز المتنقل” ، مما يعني أنهم يقبلون الاقتراحات دون أي التحقق. ومع ذلك ، غالباً ما يكون للحزم الخبيثة أوصاف مربكة على المواقع التي تستضيفها.

يمكنك أيضًا تجنب حزم السحب الشائعة التي تم تحديدها بالفعل في البرية فقط عن طريق طلب منصة الذكاء الاصطناعى المفضلة لديك للحصول على قائمة.

قائمة حزم slopsquatting من chatgpt.
قائمة حزم slopsquatting الموجودة في مجاملة Wild من ChatGpt.

أهم الاحتياطات

حتى عندما تعرف ما الذي تبحث عنه ، لا يزال من الصعب اكتشاف السحب في كثير من الحالات. نظرًا لأنه جديد جدًا ، فسوف يستغرق الأمر وقتًا لخبراء الأمن لتطوير عملية موثوقة لتحديد الحزم الضارة والقضاء عليها. تحاول العديد من منصات الذكاء الاصطناعي أيضًا تدريب نماذجها على التعرف على الأسماء/الحزم الملموسة وتحذير المطورين قبل استخدامها.

إلى أن تحدث هذه الأشياء ، لديك ثلاث طرق لمنع حزمة ضارة من تدمير البرنامج وأي أجهزة قد يتم تثبيتها عليها.

الأهم من ذلك هو تشغيل الكود الخاص بك دائمًا في بيئة صناديق رمل آمنة. يعد VirtualBox و VMware من أكثر الأجهزة الافتراضية شعبية ، وهي حرة في الاستخدام. هناك أيضًا بيئات رمل قائمة على السحابة ، على الرغم من أن معظمها يدعمون بعض اللغات فقط. الإصلاح هو المفضل لأنه يدعم أكثر من 50 لغة.

والثاني هو استخدام أداة المسح للتحقق مما إذا كانت الحزمة آمنة أم لا. لقد وجدت أن امتداد موقع Socket هو أحد أسهل الخيارات للاستخدام. إنه مجاني للاستخدام والعمل على العديد من المواقع للمسح الضوئي قبل تنزيل أي شيء. حاليًا ، يتوفر للمتصفحات القائمة على الكروم و Firefox.

كيفية تجنب Microsoft منع الفرق في قائمة تحديث سطح المكتب

أخيرًا ، تحقق دائمًا من أي شيء يقترحه الذكاء الاصطناعي. كلما كنت أكثر اعتمادًا على الذكاء الاصطناعي ، كلما كان من الأسهل أن يستفيدوا من مجرمي الإنترنت. استخدم منظمة العفو الدولية للمساعدة في الترميز ، ولكن تحقق من أي وجميع الاقتراحات قبل استخدامها.

إذا أصبحت ضحية للانتعاش ، فدع المطورين الآخرين يعرفون ذلك. تحذيرات ما بعد وسائل التواصل الاجتماعي ، Reddit ، ومضيفي المستودعات. اتصل بالدعم لمنصة الذكاء الاصطناعى التي تستخدمها للإبلاغ عن اسم الحزمة الضارة للمساعدة في تدريب نماذج الذكاء الاصطناعي بشكل أفضل. يساعد الحصول على المعلومات الآخرين على حماية أنفسهم.

الوسوم

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى