这个技巧利用了大型语言模型的一个共同特点,这些模型为 ChatGPT 等生成人工智能提供动力:它们喜欢编造东西。
ChatGPT 是一个预测机器人,因此它会根据可用数据给出它认为有意义的答案。 然而,这意味着它经常会产生一种“幻觉”——一种看似合理的回应,但实际上是一个完全错误的主张,在事实核查时会崩溃。
如果一个坏人向 ChatGPT 询问代码库(或“包”),直到 AI 伪造一个假代码库,那么该黑客就可以创建以前不存在的库的真实版本。 然后,下次 ChatGPT 向用户提及该库时,该用户可能会尝试下载唯一可用的版本……恶意版本。
Vulcan Cyber 的 Voyager18 研究团队详细介绍了这一新骗局,该团队在最近的博客文章。
如何避免人工智能包幻觉
一旦您了解了软件包幻觉带来的威胁,就有一个简单的解决方法:在您真正相信之前,仔细检查 ChatGPT 告诉您的所有内容。
也就是说,在这个具体案例中,Voyager18 团队有更多可以提供帮助的建议。
“[审查编码库]有多种方法,包括检查创建日期、下载数量、评论(或缺少评论和星级)以及查看库的任何附加注释。 如果有任何东西看起来可疑,请在安装之前三思而后行。” -航海者18
ChatGPT 是一个很棒的工具,可以帮助您响应错误消息或创建全新的代码,但开发人员不应依赖它来进行更重要的编码项目。
