LLM(大規模言語モデル)の使用は、攻撃者が開発環境に悪意のあるパッケージを配布する機会を提供する可能性があることが最近の研究で明らかになりました。
特に、ソフトウェア開発者がLLMにコーディングの助けを求めた際に、存在しないコードライブラリの名前を創り出すことが指摘されています。
この問題は、開発者がLLMの提案を信じてパッケージをダウンロードすると、マルウェアを開発環境に持ち込む結果を招く可能性があります。
研究では、様々なLLMが異なるプログラミング言語でどの程度同じ「幻のパッケージ」を生成するかを調査しました。
その結果、あるLLMは64.5%の率で、別のLLMでは29.1%の割合で架空のパッケージを生成したと報告されています。
開発者は、LLMから提案されたパッケージの正確性を検証する際に注意が必要とされ、不慣れなオープンソースパッケージに遭遇した場合は、そのパッケージが属するリポジトリを確認し、コミュニティの規模やメンテナンス記録、既知の脆弱性などを調べるべきだと提言されています。
最終的には、開発環境に導入する前に包括的なスキャンが求められます。
出典 : https://www.darkreading.com/application-security/pervasive-llm-hallucinations-expand-code-developer-attack-surface