GitLab AIアシスタントが研究者に騙されて悪意のあるコードを生成
GitLabのAIアシスタント「Duo」が、セキュリティ研究者によって騙されて悪意のあるコードを生成する攻撃が実演されました。
最新の更新
マーケティングでは、AI支援の開発者ツールが現代のソフトウェアエンジニアにとって不可欠な作業馬として宣伝されています。GitLabの開発者プラットフォームもその一例で、同社はDuoというチャットボットが「瞬時にTo-Doリストを生成し、数週間分のコミットを掘り返す負担をなくす」と謳っています。しかし、これらのツールがデフォルトでなくとも、悪意のある人物に簡単に騙されてユーザーに対して攻撃的な行動を取らせることができることは言及されていません。セキュリティ企業Legitの研究者は、木曜日にDuoを利用して、指定されたスクリプトに悪意のあるコードを挿入させる攻撃を実演しました。この攻撃により、ゼロデイ脆弱性の詳細など、プライベートなコードや機密の課題データが漏洩する可能性もあります。攻撃は、ユーザーが外部ソースからのマージリクエストや類似のコンテンツに対してチャットボットに指示を出すだけで発生します。
好きかもしれない
- Apple、テキサス州のアプリストア年齢確認法案に反対
- Google HomeがGeminiとの統合を強化し、新しいウィジェットを追加
- Apple、EUのiOS競合製品開放命令に対して控訴
- AzureCell Therapies、パーキンソン病治療のために€154Kを獲得
- Microsoft 365とGoogle Workspace、メールセキュリティの脆弱性がデータ漏洩のリスクを引き起こす可能性
- Apple、iPhoneチップ搭載の低価格MacBookを発売予定
- アメリカ合衆国下院、セキュリティリスクを理由に職員の端末でWhatsApp使用禁止
- Apple、AI責任者がMetaに移籍した理由とは?