Код, созданный искусственным интеллектом, регулярно содержит ссылки на несуществующие сторонние библиотеки, что открывает возможности для атак на цепочку поставок программного обеспечения. К такому выводу пришли исследователи из Университета Техаса в Сан-Антонио, чья работа будет представлена на симпозиуме USENIX Security Symposium. Учёные проанализировали 576 тыс. образцов кода, сгенерированных 16 популярными языковыми моделями, включая OpenAI и открытые решения. В 19,7% случаев зависимости (сторонние компоненты, необходимые для работы кода) оказались «галлюцинациями» — пакетами, которых не существует в публичных репозиториях.
Особую опасность такие ошибки представляют из-за повторяемости: 43% «галлюцинированных» названий появлялись в более чем 10 запросах, а 58% — повторялись хотя бы раз в 10 итерациях. Это позволяет злоумышленникам предсказуемо создавать вредоносные пакеты с такими именами и внедрять их в легитимные программы. Как объяснил ведущий автор исследования Джозеф Спраклен, если разработчик установит поддельную зависимость, то код злоумышленника выполнится на его системе, что может привести к утечке данных или установке бэкдоров.
Наиболее уязвимыми оказались открытые модели, такие как CodeLlama и DeepSeek, — они «галлюцинировали» в 22% случаев против 5% у коммерческих аналогов. Учёные связывают это с размером моделей: коммерческие решения, такие как ChatGPT, имеют в 10 раз больше параметров, что улучшает точность. При этом в рамках открытых моделей разница в размере не влияла на частоту ошибок, что указывает на роль других факторов: обучающих данных, тонкой настройки и механизмов безопасности.
Язык программирования также имел значение: JavaScript-код содержал 21% несуществующих зависимостей против 16% у Python. Исследователи предполагают, что причина — в 10-кратном превосходстве экосистемы JavaScript по числу пакетов и сложности неймспейсов, что затрудняет точное воспроизведение названий.
Проблема усугубляет риски «подмены зависимостей» — атак, при которых злоумышленник публикует вредоносный пакет с именем, совпадающим с легитимным, но более новой версией. В 2021 году подобная техника использовалась против Apple, Microsoft и Tesla. С ростом популярности ИИ-генераторов кода, по прогнозам Microsoft CTO Кевина Скотта, к 2030 году 95% программ может создаваться с их помощью, что увеличит масштаб угрозы.
«Галлюцинации в LLM — это не случайные ошибки, а системная уязвимость, — подчеркнул Спраклен. — Разработчикам критически важно проверять каждую зависимость, даже если её предложил ИИ». Исследователи призвали сообщество усилить механизмы верификации кода и разработать инструменты для автоматического обнаружения «галлюцинированных» пакетов, чтобы снизить риски для всей экосистемы разработки.
-
«Это открытие дает техническую поддержку для создания новых типов реакторов». Китай создал первые в мире алгоритмы для создания радиационной защиты реакторов будущего
02.05.2025 19:02:00 | iXBT.com
Конец цифровой золотой лихорадки: стоимость добычи Bitcoin превысила $200 000 и больше не окупается
02.05.2025 18:59:00 | iXBT.com
UPS планирует решать кадровый кризис в логистике гуманоидными роботами Figure 02
02.05.2025 18:43:00 | iXBT.com
Квантовый прорыв в США: квантовый компьютер на D-Wave Advantage превзошел суперкомпьютеры в оптимизации
02.05.2025 18:40:00 | iXBT.com
Спасать, тушить, исследовать: новый гибридный робот Deep Robotics готов выйти в опасные зоны вместо людей
02.05.2025 18:37:00 | iXBT.com
Сборка бургера за полминуты — проект BurgerBots запустил на кухню роботов вместо людей
02.05.2025 18:30:00 | iXBT.com
Контрабанда чипов Nvidia в Китай в живых лобстерах и накладных животах для имитации беременности: странный спор Nvidia и Anthropic
02.05.2025 18:27:00 | iXBT.com
Человек на Луне к 2026: Lockheed Martin передала NASA корабль Orion для миссии Artemis 2
02.05.2025 18:25:00 | iXBT.com
В США создали первые в мире атомные часы с точностью на 100 миллионов лет вперед
02.05.2025 18:05:00 | iXBT.com
В NASA бьют тревогу: Китай замедлил вращение Земли и изменил форму планеты
02.05.2025 17:39:00 | iXBT.com
Новый Volvo V60 MHEV 2025 в России оказался дороже Hyundai Santa Fe: за шведский универсал просят 7,6 млн рублей
02.05.2025 17:30:00 | iXBT.com
Уникальную «Волгу» ГАЗ-24 продают в России за 1,29 млн рублей — такие машины поставляли на экспорт
02.05.2025 16:54:00 | iXBT.com
Седан Volkswagen, который бюджетный лишь в Китае. Volkswagen Lavida XR с классическим 6-ступенчатым «автоматом» подорожал в России до 3 млн рублей (за машины из наличия)
02.05.2025 16:16:00 | iXBT.com
7-местная Toyota с автоматизированной коробкой передач — за 3,15 млн рублей: столько сейчас в России стоит Toyota Veloz
02.05.2025 15:57:00 | iXBT.com
Титан, стекло, 200 Мп и мощь Snapdragon 8 Elite в сверхтонком корпусе 5,85 мм. Раскрыты все характеристики и цена Samsung Galaxy S25 Edge
02.05.2025 14:39:00 | iXBT.com
Рынок деградирует, а работать на склад нецелесообразно: АвтоВАЗ до минимума сократил производство Lada Vesta Cross и Lada Vesta SW Cross
02.05.2025 14:07:00 | iXBT.com
Всё-таки неполадки с двигателями: майский запуск новейшей ракеты Starship под вопросом
02.05.2025 13:02:00 | iXBT.com
Toyota запустила Toyotathon: популярные модели RAV4, Corolla, Yaris и другие раздают со скидками и бесплатной установкой зарядных станций в Великобритании
02.05.2025 12:47:00 | iXBT.com
Hyundai Tucson и Kia Sportage бьют рекорды продаж в США, а у Kia Carnival рекордный рост
02.05.2025 12:36:00 | iXBT.com
Новейшая Toyota Camry 2026 расходует всего 5 л на 100 км даже с полным приводом
02.05.2025 12:30:00 | iXBT.com
«Полнокровная» Dimensity 8400 — самая мощная субфлагманская платформа, а iQOO Z10 Turbo — самый мощный субфлагман в свежем рейтинге AnTuTu
02.05.2025 12:17:00 | iXBT.com
Не только крутой камерофон, но еще и самый мощный флагман в мире. Vivo X200 Ultra возглавил рейтинг самых высокопроизводительных смартфонов AnTuTu, на 2 и 3 местах — Vivo X200s и Vivo X200 Pro
02.05.2025 12:07:00 | iXBT.com
Генпрокуратура России пересаживается с Ford Focus на внедорожники российской сборки Haval H3
02.05.2025 11:29:00 | iXBT.com
Hyundai Tucson, Toyota Camry и Toyota RAV4 возглавили российский чарт, а Kia Sportage, Skoda Kodiaq и Toyota Land Cruiser 300 попали в топ-10. Названы самые популярные машины в РФ по параллельному импорту
02.05.2025 11:21:00 | iXBT.com
Nvidia боится Huawei: компания просит не запрещать поставки чипов в Китай, так как это увеличит спрос на процессоры Huawei
02.05.2025 11:07:00 | iXBT.com
Windows уходит в историю для Huawei. Компьютеры компании переводят на HarmonyOS вслед за смартфонами
02.05.2025 10:31:00 | iXBT.com
Калифорнийская компания TAE Technologies заявляет о прорыве в управляемом термоядерном синтезе: реактор Norm мощнее токамаков в 100 раз
02.05.2025 10:29:00 | iXBT.com
Технологии шаттлов против утечек: NASA экстренно заменило двигатель на лунной ракете SLS для миссии Artemis II
02.05.2025 09:57:00 | iXBT.com
Новейший кроссовер Toyota с расходом до 5 л на 100 км и отличным оснащением — теперь дешевле. Представлен Toyota Yaris Cross Hybrid 2025
02.05.2025 09:40:00 | iXBT.com
Компания Espressif запустила массовое производство «универсального» микроконтроллера ESP32-C5 для гибридных сетей
02.05.2025 09:29:00 | iXBT.com
Mercedes-Benz GLE 350, Mercedes-Benz GL 500, Toyota Hilux, Kia Optima и другие современные машины по цене 2-2,5 млн рублей. В России продают автомобили должников
02.05.2025 09:26:00 | iXBT.com
«Нам нужно больше времени», — спустя год Тим Кук признал, что умная Siri до сих пор не готова
02.05.2025 09:18:00 | iXBT.com
От Starship оторвался осколок, при этом ракету даже не запускали, а просто включили все двигатели сразу
02.05.2025 09:08:00 | iXBT.com
-
В М.Видео-Эльдорадо рассказали, что россияне чаще всего покупают днём и ночью
18.07.2025 16:32:06 | ferra.ru
Мэделин Петш возвращается в жуткий дом в трейлере хоррора «Незнакомцы: Глава 2»
18.07.2025 16:15:06 | КИНО-ТЕАТР.РУ
ЕС ввёл санкции против ещё 22 российских банков, запретил любые операции с РФПИ и все транзакции с Беларусью
18.07.2025 15:30:49 | vc.ru
«Гранд тур»: Живите дальше в проклятом мире, который сами и создали
18.07.2025 15:30:06 | КИНО-ТЕАТР.РУ
Верховный суд Южной Кореи оправдал главу Samsung по делу о слиянии 2015 года
18.07.2025 15:00:01 | ferra.ru
В России впервые пройдет питчинг научно-фантастических фильмов и сериалов
18.07.2025 14:50:11 | КИНО-ТЕАТР.РУ
«Работаю, ныряю с аквалангом, ещё немного работаю, снова ныряю или иду в спортзал»: глава Valve Гейб Ньюэлл рассказал о жизни на яхте
18.07.2025 14:15:14 | vc.ru
Сбалансированное питание и другие полезные ежедневные привычки после 50 лет
18.07.2025 14:15:10 | ferra.ru
Томские инженеры создали первую российскую установку для закалки рельсовых колёс
18.07.2025 14:13:17 | ferra.ru
Как выйти из IT?.. и пойти слесарем на завод. Моя попыточка дауншифтинга [24]
18.07.2025 13:42:39 | Хабр
«Билайн» и «Роскосмос» объединят усилия для развития спутниковой связи
18.07.2025 13:36:14 | ferra.ru
Сильная жажда и другие признаки, что у вас слишком высокий уровень сахара в крови
18.07.2025 13:30:14 | ferra.ru
Как мы протестировали Stripe с 10 конфигурациями: VPN, Canvas, Spoof и поведенческий JS
18.07.2025 13:19:32 | Хабр
Дмитрий Журавлев и Светлана Пермякова появятся во втором сезоне скетчкома «Галустян+»
18.07.2025 13:15:06 | КИНО-ТЕАТР.РУ
Боня приучает 13-летнюю дочь к светской Москве — реакция подростка бесценна
18.07.2025 13:15:00 | Woman.ru
Салат «Рукола с абрикосом и брынзой», пошаговый рецепт с фото на 657 ккал
18.07.2025 13:10:00 | ГАСТРОНОМЪ
Московские предприятия создадут отечественные программно-аппаратные комплексы
18.07.2025 12:59:12 | ferra.ru
Техническая поддержка проекта ВсеТут