近日,网络安全领域曝出一起利用大语言模型(LLM)协助开发恶意软件的典型案例。据安全研究员Sibi Moosa监测,一名网名为“mousie-5212-super-formatter”的恶意开发者被指利用Anthropic旗下的AI模型Claude协助编写恶意代码,并大规模污染npm包管理器生态。该攻击者在短时间内向npm仓库推送了超过670个包含恶意脚本的软件包,其自动化程度与生成速度引发行业高度警惕。数智化转型网www.szhzxw.cn
此次攻击的核心在于利用AI显著降低了恶意代码的编写门槛。这些受污染的npm包被设计用于窃取开发者的敏感凭据(如npm令牌、GitHub令牌)以及内部私有GitHub存储库的源代码。攻击者通过利用Claude生成逻辑严密的窃取脚本,并将获取的数据上传至其控制的存储库中。这一事件揭示了生成式AI在提升开发效能的同时,也正在成为攻击者提升攻击效能与自动化水平的“倍增器”。数智化转型网www.szhzxw.cn
专家指出,此番利用AI模型进行自动化包污染与代码窃取,标志着供应链攻击已进入智能化新阶段。传统的基于签名的防御机制难以应对此类由AI生成的高度变异且具有迷惑性的恶意载体。随着AI编程辅助工具的普及,如何防止模型被滥用于漏洞挖掘与恶意开发,已成为AI安全治理亟待解决的课题。
若您对人工智能感兴趣,可添加数智化转型网小助手思思微信加入人工智能交流群。若您在寻找人工智能供应商,可联系数智化转型网小助手思思(17757154048,微信同号)
若您为人工智能服务商,可添加数智化转型网小助手Nora,加入人工智能行业交流群。
若您为人工智能创业者,可添加数智化转型网社群主理人Carina,加入人工智能创业交流群。
声明:本文来自数智化转型网,版权归作者所有。文章内容仅代表作者独立观点,不代表数智化转型网立场,转载目的在于传递更多信息。如有侵权,请联系我们。
本文由数智化转型网(www.szhzxw.cn)转载,编辑/翻译:数智化转型网(Professionalism Achieves Leadership 专业造就领导者)白龙
