Asistente de IA de GitLab Engañado para Generar Código Malicioso por Investigadores

Las herramientas de desarrollo asistidas por IA son promovidas por los vendedores como esenciales para los ingenieros de software de hoy en día. Por ejemplo, la plataforma de desarrollo GitLab afirma que su chatbot Duo puede 'generar instantáneamente una lista de tareas' y eliminar la carga de 'navegar a través de semanas de commits'. Sin embargo, lo que estas compañías no mencionan es que estas herramientas, por su naturaleza, pueden ser fácilmente engañadas por actores maliciosos para realizar acciones hostiles contra los usuarios. Los investigadores de la firma de seguridad Legit demostraron el jueves un ataque que indujo a Duo a insertar código malicioso en un script que se le había pedido escribir. Este ataque también podría filtrar código privado y datos confidenciales, como detalles sobre vulnerabilidades de día cero. Todo lo que se requiere es que el usuario indique al chatbot que interactúe con una solicitud de fusión o contenido similar de una fuente externa.