Slopsquatting อันตรายจาก AI ที่นักพัฒนาควรรู้

Slopsquatting คืออะไร

ทุกอย่างเริ่มต้นจากการ “หลอน” ของ AI ซึ่งก็คือสิ่งที่ AI สร้างขึ้นมาเอง ในเรื่องของ Slopsquatting เครื่องมือ AI จะแนะนำแพ็กเกจโอเพนซอร์สที่ ไม่มีอยู่จริง ให้นักพัฒนาเอาไปใช้ในโค้ดของพวกเขา

พวกอาชญากรไซเบอร์ค้นพบว่าการหลอนของ AI มักจะเกิดขึ้นซ้ำๆ พวกเขาจึงใช้ช่องโหว่นี้ให้เป็นประโยชน์ โดยการสร้างแพ็กเกจที่เป็นอันตรายโดยใช้ชื่อที่ AI สร้างขึ้นมาเองเหล่านี้ แล้วอัปโหลดไปยังแหล่งเก็บโค้ดที่น่าเชื่อถือ เช่น GitHub เมื่อนักพัฒนาถามแพลตฟอร์ม AI ที่พวกเขาชอบ เพื่อแนะนำแพ็กเกจโอเพนซอร์ส แชทบอทก็จะแนะนำชื่อที่ AI สร้างขึ้น ซึ่งเป็นชื่อเดียวกับที่พวกอาชญากรไซเบอร์กำลังใช้อยู่

ผลที่ตามมาคือ นักพัฒนาได้แทรกแพ็กเกจที่เป็นอันตรายเหล่านี้เข้าไปในซอฟต์แวร์ของพวกเขา เมื่อโค้ดเหล่านั้นถูกรัน ความเสียหายก็จะเกิดขึ้น และผู้โจมตีจะสามารถเข้าถึงอุปกรณ์ใดๆ ก็ตามที่โค้ดนั้นทำงานอยู่ได้ทันที

แม้ว่าเรื่องนี้อาจฟังดูไม่ร้ายแรงนัก แต่จากการศึกษาพบว่า จากโมเดล AI สำหรับสร้างโค้ดหลักๆ 16 ตัว เกือบ 20 เปอร์เซ็นต์ ของแพ็กเกจที่ AI แนะนำนั้น ไม่มีอยู่จริง ที่แย่กว่านั้นคือ 43 เปอร์เซ็นต์ ของชื่อแพ็กเกจที่ AI สร้างขึ้นมาเอง (hallucinated) นั้น ถูกแนะนำซ้ำๆ ทุกครั้ง จากการทดลอง 10 ครั้งด้วยคำสั่งเดิม ทำให้ง่ายมากยิ่งขึ้นสำหรับอาชญากรไซเบอร์ที่จะเลือกชื่อ และทำให้แพ็กเกจที่เป็นอันตรายของพวกเขาถูกแนะนำและใช้งานซ้ำๆ ได้

ในการศึกษาครั้งนี้ CodeLlama เป็นโมเดลที่สร้างชื่อแพ็กเกจหลอกมากที่สุด ในทางตรงกันข้าม GPT-4 Turbo มีการสร้างชื่อหลอกน้อยที่สุด อย่างไรก็ตาม เพียงเพราะความเสี่ยงน้อยกว่าไม่ได้หมายความว่าคุณจะปลอดภัยอย่างสมบูรณ์นะครับ

---

5 สิ่งที่นักพัฒนาต้องจับตา เพื่อป้องกันภัยร้าย Slopsquatting จาก AI 

1. ชื่อ Package ที่สะกดผิดเล็กน้อย : แม้ว่าการสะกดผิดอาจไม่ใช่ตัวบ่งชี้ที่แน่นอนเสมอไป (โดยเฉพาะอย่างยิ่งเมื่อชื่อ Package ที่สร้างโดย AI ส่วนใหญ่มักจะไม่มีการสะกดผิด) แต่ถ้าคุณสังเกตเห็นความผิดปกติในการสะกด ให้คิดทบทวนให้ดีก่อนที่จะใช้งาน
2. ขาดการพูดคุยหรือ Feedback : Package ที่มีการพูดคุยหรือ Feedback น้อย อาจไม่ใช่ตัวเลือกที่ปลอดภัยที่สุด อาจเป็น Package ใหม่เอี่ยม หรืออาจเป็นสัญญาณของ Package ปลอมที่อาศัยคำแนะนำของ AI เพื่อให้นักพัฒนาค้นพบและใช้งานโดยไม่รู้ตัว
3. คำเตือนจากนักพัฒนาคนอื่นๆ : แม้ว่าการพึ่งพาคำแนะนำของ AI จะสะดวกสบาย แต่สละเวลาสักครู่เพื่อค้นคว้าเพิ่มเติม ใช้ Search Engine ที่คุณชื่นชอบและดูว่านักพัฒนาคนอื่นๆ พูดถึง Package ที่ AI แนะนำอย่างไร ก่อนที่จะนำมาใช้งานจริง
4. ไม่ได้รับการแนะนำจาก Platform อื่นๆ : หากเป็นไปได้ ลองใช้ Prompt เดียวกันหรือใกล้เคียงกันบน Platform AI สำหรับการเขียนโค้ดหลายๆ แห่ง หาก Package นั้นไม่ค่อยได้รับการแนะนำหรือไม่เคยถูกแนะนำเลย นั่นอาจเป็นสัญญาณสำคัญของ Slopsquatting
5. คำอธิบายที่สับสน : นักพัฒนาจำนวนมากขึ้นเรื่อยๆ พึ่งพา “Vibe Coding” ซึ่งหมายถึงการยอมรับคำแนะนำโดยไม่มีการตรวจสอบใดๆ อย่างไรก็ตาม Package ที่เป็นอันตรายมักจะมีคำอธิบายที่สับสนบนเว็บไซต์ที่โฮสต์ นอกจากนี้ คุณยังสามารถหลีกเลี่ยง Package Slopsquatting ที่ถูกระบุแล้วได้ง่ายๆ เพียงแค่ถาม Platform AI ที่คุณใช้เป็นประจำเพื่อขอรายชื่อ

---

ข้อควรระวังที่สำคัญที่สุด

ถึงแม้คุณจะรู้ว่าควรสังเกตอะไรบ้าง แต่ในหลายๆ ครั้ง Slopsquatting ก็ยังเป็นสิ่งที่ยากต่อการตรวจจับ เนื่องจากมันเป็นภัยคุกคามที่ค่อนข้างใหม่ ผู้เชี่ยวชาญด้านความปลอดภัยจึงต้องใช้เวลาในการพัฒนากระบวนการที่น่าเชื่อถือเพื่อระบุและกำจัดแพ็กเกจที่เป็นอันตราย แพลตฟอร์ม AI หลายแห่งก็กำลังพยายามฝึกฝนโมเดลของตนเองให้สามารถจดจำชื่อ/แพ็กเกจที่ AI สร้างขึ้นเองได้ และเตือนนักพัฒนาก่อนที่จะใช้งาน

จนกว่าสิ่งเหล่านั้นจะเกิดขึ้น คุณยังมี 3 วิธี ที่จะช่วยป้องกันไม่ให้แพ็กเกจที่เป็นอันตรายทำลายซอฟต์แวร์และอุปกรณ์ใดๆ ก็ตามที่อาจมีการติดตั้ง:

1. สิ่งที่สำคัญที่สุดคือการรันโค้ดของคุณในสภาพแวดล้อม Sandbox ที่ปลอดภัยเสมอ VirtualBox และ VMWare เป็นโปรแกรมจำลองเครื่อง (Virtual Machine) ที่ได้รับความนิยมมากที่สุดสองโปรแกรม และใช้งานได้ฟรี นอกจากนี้ยังมีสภาพแวดล้อม Sandbox บนคลาวด์อีกด้วย แม้ว่าส่วนใหญ่จะรองรับเพียงไม่กี่ภาษา แต่ Replit เป็นตัวเลือกที่ได้รับความนิยมเนื่องจากรองรับมากกว่า 50 ภาษา
2. ใช้เครื่องมือสแกนเพื่อตรวจสอบว่าแพ็กเกจนั้นปลอดภัยหรือไม่ ผมพบว่า Socket Web Extension เป็นหนึ่งในตัวเลือกที่ใช้งานง่ายที่สุด มันใช้งานได้ฟรีและทำงานได้บนเว็บไซต์จำนวนมาก เพื่อสแกนก่อนที่คุณจะดาวน์โหลดอะไรก็ตาม ปัจจุบันมีให้ใช้งานสำหรับเบราว์เซอร์ที่ใช้ Chrome และ Firefox

สุดท้ายนี้ ตรวจสอบทุกสิ่งที่ AI แนะนำเสมอ ยิ่งคุณพึ่งพา AI มากเท่าไหร่ อาชญากรไซเบอร์ก็ยิ่งหาโอกาสเอาเปรียบได้ง่ายขึ้น ใช้ AI เพื่อช่วยในการเขียนโค้ด แต่ ต้องตรวจสอบ ทุกคำแนะนำก่อนนำไปใช้งาน

หากคุณตกเป็นเหยื่อของ Slopsquatting สิ่งสำคัญคือต้อง แจ้งให้เพื่อนนักพัฒนาคนอื่นๆ ทราบ โพสต์คำเตือนบนโซเชียลมีเดีย Reddit และแหล่งเก็บโค้ด ติดต่อฝ่ายสนับสนุนของแพลตฟอร์ม AI ที่คุณใช้งานเพื่อรายงานชื่อแพ็กเกจที่เป็นอันตราย เพื่อช่วยในการฝึกฝนโมเดล AI ให้ดีขึ้น การแบ่งปันข้อมูลจะช่วยให้ผู้อื่นสามารถป้องกันตนเองได้

---

แหล่งที่มา : https://www.maketecheasier.com/what-is-slopsquatting/

ติดต่อเราเพื่อรับคำปรึกษาและบริการที่ดีที่สุดในด้านความปลอดภัยไซเบอร์

สนใจสินค้า :

https://mon.co.th

https://onestopware.com

https://firewallhub.com

สอบถามเพิ่มเติม :

: 02-026-6664, 02-026-6665

: [email protected]

LINE : https://page.line.me/?accountId=monsteronline