ಸ್ಲಾಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಎಂದರೇನು? ಇದು ಒಂದು ದಾಳಿ ಇದರಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ಪಾತ್ರಧಾರಿಗಳು AI ಕೋಡಿಂಗ್ ಸಹಾಯಕರು ಭ್ರಮೆಗೊಳಿಸುವ ನಿಖರವಾದ ಪ್ಯಾಕೇಜ್ ಹೆಸರುಗಳನ್ನು ನೋಂದಾಯಿಸುತ್ತಾರೆ, ನಂತರ ಆ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಮಾಲ್ವೇರ್ನೊಂದಿಗೆ ಲೋಡ್ ಮಾಡುತ್ತಾರೆ ಮತ್ತು ಡೆವಲಪರ್ ಅವುಗಳನ್ನು ಸ್ಥಾಪಿಸುವವರೆಗೆ ಕಾಯುತ್ತಾರೆ. ಇದು ಅತ್ಯಾಧುನಿಕ ಪ್ರಕರಣವಲ್ಲ. ನಲ್ಲಿ ಪ್ರಸ್ತುತಪಡಿಸಲಾದ ಸಂಶೋಧನೆಯಲ್ಲಿ ಯುಎಸ್ಇನಿಕ್ಸ್ ಸೆಕ್ಯುರಿಟಿ 2025, 576,000 ಕೋಡ್ ಮಾದರಿಗಳಲ್ಲಿ AI ಕೋಡಿಂಗ್ ಮಾದರಿಗಳು ಶಿಫಾರಸು ಮಾಡಿದ ಪ್ಯಾಕೇಜ್ಗಳಲ್ಲಿ 19.7% ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲ, ಮತ್ತು ಸಂಶೋಧಕರು ಪರೀಕ್ಷಿಸಿದ ಮಾದರಿಗಳಲ್ಲಿ 205,000 ಕ್ಕೂ ಹೆಚ್ಚು ವಿಶಿಷ್ಟ ಭ್ರಮೆಯ ಹೆಸರುಗಳನ್ನು ಲಾಗ್ ಮಾಡಿದ್ದಾರೆ.
ಸ್ಲಾಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಎಂದರೇನು (ಮತ್ತು ಆಚರಣೆಯಲ್ಲಿ ಸ್ಲಾಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಅರ್ಥ ಹೇಗಿರುತ್ತದೆ) ಎಂಬುದನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳುವುದು ಮುಖ್ಯವಾಗಿದೆ ಏಕೆಂದರೆ ಅದು ಕೇವಲ AI ವಿಚಿತ್ರವಲ್ಲ. ಸ್ಲಾಪ್ಸ್ಕ್ವಾಟಿಂಗ್ AI-ಯುಗದ ಉತ್ತರಾಧಿಕಾರಿಯಾಗಿದೆ ಟೈಪೊಸ್ಕ್ವಾಟಿಂಗ್, ಒಂದು ನಿರ್ಣಾಯಕ ವ್ಯತ್ಯಾಸದೊಂದಿಗೆ: ಟೈಪೊಸ್ಕ್ವಾಟಿಂಗ್ ಮಾನವನ ಟೈಪಿಂಗ್ ತಪ್ಪನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ, ಆದರೆ ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಮಾದರಿಯ ತಪ್ಪನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ, ಆಕ್ರಮಣಕಾರನು ಅದನ್ನು ಪ್ರಮಾಣದಲ್ಲಿ ಬಳಸಿಕೊಳ್ಳಲು ಊಹಿಸಬಹುದಾದಷ್ಟು ಪುನರಾವರ್ತನೆಯಾಗುತ್ತದೆ. ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಎಂದರೇನು, ಪ್ಯಾಕೇಜ್ ವಿಮರ್ಶೆಯು ಅದನ್ನು ಹಿಡಿಯುವುದಕ್ಕಿಂತ ವೇಗವಾಗಿ ಅದು ಏಕೆ ಹರಡುತ್ತದೆ, ಅದು ಯಾವ ಅಪಾಯಗಳನ್ನು ಸೃಷ್ಟಿಸುತ್ತದೆ ಮತ್ತು ಉತ್ಪಾದನೆಯನ್ನು ತಲುಪುವ ಮೊದಲು ಸಂಸ್ಥೆಗಳು ಅದನ್ನು ಹೇಗೆ ಕಂಡುಹಿಡಿಯಬಹುದು ಮತ್ತು ತಡೆಯಬಹುದು ಎಂಬುದನ್ನು ಈ ಮಾರ್ಗದರ್ಶಿ ವಿವರಿಸುತ್ತದೆ.
ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಅರ್ಥ: ವ್ಯಾಖ್ಯಾನ #
ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಅರ್ಥ, ಔಪಚಾರಿಕವಾಗಿ: ದೊಡ್ಡ ಭಾಷಾ ಮಾದರಿಯು ಭ್ರಮೆಯನ್ನುಂಟುಮಾಡುವ ಪ್ಯಾಕೇಜ್ ಹೆಸರನ್ನು ನೋಂದಾಯಿಸುವ ಅಭ್ಯಾಸ, ಯಾವುದೇ ಸಾರ್ವಜನಿಕ ನೋಂದಾವಣೆಯಲ್ಲಿ ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ಆದರೆ ತೋರುವ ಆವಿಷ್ಕರಿಸಿದ ಹೆಸರು ಮತ್ತು ಅದನ್ನು ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ನೊಂದಿಗೆ ಲೋಡ್ ಮಾಡುವುದು. AI ನ ಸಲಹೆಯ ಆಧಾರದ ಮೇಲೆ ನಿಜವಾದ ಡೆವಲಪರ್ ಅದನ್ನು ಸ್ಥಾಪಿಸುವ ಮೊದಲು.
ಈ ಪದವು ಟೈಪೋಸ್ಕ್ವಾಟಿಂಗ್ (ಸಾಮಾನ್ಯ ತಪ್ಪು ಕಾಗುಣಿತದ ಮೂಲಕ ನಿಜವಾದ ಹೆಸರನ್ನು ಅನುಕರಿಸುವ ಪ್ಯಾಕೇಜ್ ಹೆಸರನ್ನು ನೋಂದಾಯಿಸುವುದು) ಪರಿಕಲ್ಪನೆಯನ್ನು ಜನರೇಟಿವ್ AI ನ ನಿರ್ದಿಷ್ಟ ವೈಫಲ್ಯ ಮೋಡ್ಗೆ ವಿಸ್ತರಿಸುತ್ತದೆ. ಟೈಪೋಸ್ಕ್ವಾಟಿಂಗ್ ಮಾನವನ ಮುದ್ರಣದೋಷವನ್ನು ಬಳಸಿಕೊಳ್ಳುವಲ್ಲಿ, ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಒಂದು AI ಮಾದರಿಯ ಭ್ರಮೆಗಳುn: ಕೋಡಿಂಗ್ ಸಹಾಯಕನು ಎಂದಿಗೂ ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ಪ್ಯಾಕೇಜ್ಗಾಗಿ ಪಿಪ್ ಇನ್ಸ್ಟಾಲ್ ಅಥವಾ ಎನ್ಪಿಎಂ ಇನ್ಸ್ಟಾಲ್ ಅನ್ನು ಶಿಫಾರಸು ಮಾಡುತ್ತಾನೆ ಮತ್ತು ಪ್ರಾಂಪ್ಟ್ಗಳಲ್ಲಿ ಅದೇ ಆವಿಷ್ಕರಿಸಿದ ಹೆಸರು ಮರುಕಳಿಸುವುದನ್ನು ಗಮನಿಸಿದ ಆಕ್ರಮಣಕಾರನು ಅದನ್ನು ಮೊದಲು ನೋಂದಾಯಿಸುತ್ತಾನೆ.
ಪ್ರಾಯೋಗಿಕವಾಗಿ ಹೇಳುವುದಾದರೆ, ಇದು ಅಸಡ್ಡೆಯಿಂದ ಕೂಡಿದ ಅರ್ಥವಾಗಿದೆ: AI ಸಲಹೆಯನ್ನು ನಂಬುವುದನ್ನು ಮೀರಿ ಯಾವುದೇ ಮಾನವ ದೋಷದ ಅಗತ್ಯವಿಲ್ಲದೆ, ಮಾದರಿಯ ತಪ್ಪನ್ನು ಕೆಲಸದ ಶೋಷಣೆಯಾಗಿ ಪರಿವರ್ತಿಸುವ ಪೂರೈಕೆ ಸರಪಳಿ ದಾಳಿ. ಇದು ಸೈದ್ಧಾಂತಿಕವಲ್ಲ. 2023 ರಲ್ಲಿ ಸೌಮ್ಯ ಪರೀಕ್ಷೆಯಾಗಿ ನೆಡಲಾದ ಒಂದೇ ಭ್ರಮೆಯ ಪ್ಯಾಕೇಜ್, ಶೂನ್ಯ ಪ್ರಚಾರದೊಂದಿಗೆ ಮೂರು ತಿಂಗಳಲ್ಲಿ 30,000 ಕ್ಕೂ ಹೆಚ್ಚು ಡೌನ್ಲೋಡ್ಗಳನ್ನು ಸೆಳೆಯಿತು ಮತ್ತು ಈ ನಿಖರವಾದ ಮಾದರಿಯನ್ನು ಬಳಸಿಕೊಳ್ಳುವ ದುರುದ್ದೇಶಪೂರಿತ ರೂಪಾಂತರಗಳು ಇಂದು ಸಾರ್ವಜನಿಕ ನೋಂದಣಿಗಳಲ್ಲಿ ಲೈವ್ ಆಗಿವೆ ಎಂದು ದೃಢಪಡಿಸಿತು.
ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ vs ಟೈಪೋಸ್ಕ್ವಾಟಿಂಗ್: ವ್ಯತ್ಯಾಸವೇನು? #
ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಮತ್ತು ಟೈಪೊಸ್ಕ್ವಾಟಿಂಗ್ ಒಂದೇ ಫಲಿತಾಂಶವನ್ನು ಹಂಚಿಕೊಳ್ಳುತ್ತವೆ (ಒಬ್ಬ ಡೆವಲಪರ್ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಅದು ಕಾನೂನುಬದ್ಧವೆಂದು ನಂಬಿ ಸ್ಥಾಪಿಸುತ್ತಾನೆ), ಆದರೆ ದೋಷದ ಮೂಲವು ವರ್ಗೀಯವಾಗಿ ಭಿನ್ನವಾಗಿರುತ್ತದೆ.
ಟೈಪೋಸ್ಕ್ವಾಟಿಂಗ್ ಮಾನವ ಟೈಪಿಂಗ್ ತಪ್ಪನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ: ಡೆವಲಪರ್ ವಿನಂತಿಗಳನ್ನು ಟೈಪ್ ಮಾಡುವುದು ಮತ್ತು ವಿನಂತಿಗಳನ್ನು ಟೈಪ್ ಮಾಡುವುದು ಎಂದರ್ಥ, ಮತ್ತು ಆ ತಪ್ಪಾಗಿ ಬರೆಯಲಾದ ಹೆಸರನ್ನು ನೋಂದಾಯಿಸಿದ ದಾಳಿಕೋರನು ಕಾಯುತ್ತಿದ್ದಾನೆ. ಅಪಾಯವು ಒಬ್ಬ ಡೆವಲಪರ್ನ ಕೀಸ್ಟ್ರೋಕ್, ಒಂದು ಕ್ಷಣದ ಅಜಾಗರೂಕತೆಗೆ ಬದ್ಧವಾಗಿದೆ.
ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಮಾನವ ದೋಷವನ್ನು ಸಂಪೂರ್ಣವಾಗಿ ತೆಗೆದುಹಾಕುತ್ತದೆ ಮತ್ತು ಅದನ್ನು ಮಾದರಿಯ ದೋಷದಿಂದ ಬದಲಾಯಿಸುತ್ತದೆ, ಇದು ಒಂದೇ ರೀತಿಯ ಪ್ರಾಂಪ್ಟ್ ಅನ್ನು ಪಡೆಯುವ ಪ್ರತಿಯೊಬ್ಬ ಡೆವಲಪರ್ನಲ್ಲಿ ಪ್ರಮಾಣದಲ್ಲಿ ಪುನರಾವರ್ತನೆಯಾಗುತ್ತದೆ. ಫಾಲೋ-ಅಪ್ ವಿಶ್ಲೇಷಣೆಯು ಸಂಶೋಧಕರು ತಲಾ ಹತ್ತು ಬಾರಿ ಒಂದೇ ರೀತಿಯ ಪ್ರಾಂಪ್ಟ್ಗಳನ್ನು ಮರು-ರನ್ ಮಾಡಿದಾಗ, 43% ಭ್ರಮೆಯ ಪ್ಯಾಕೇಜ್ ಹೆಸರುಗಳು ಪ್ರತಿ ರನ್ನಲ್ಲಿ ಕಾಣಿಸಿಕೊಂಡವು ಮತ್ತು 58% ಒಂದಕ್ಕಿಂತ ಹೆಚ್ಚು ಬಾರಿ ಪುನರಾವರ್ತನೆಯಾಯಿತು ಎಂದು ಕಂಡುಹಿಡಿದಿದೆ. ಆ ಪುನರಾವರ್ತನೆಯೇ ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಅನ್ನು ಶೋಷಣೆಗೆ ಒಳಪಡಿಸುತ್ತದೆ: ಆಕ್ರಮಣಕಾರನು ಮುದ್ರಣದೋಷವನ್ನು ಊಹಿಸುವ ಅಗತ್ಯವಿಲ್ಲ. ನಿಜವಾದ ಡೆವಲಪರ್ ಮಾಡುವ ಮೊದಲು ಅವರು ಮಾದರಿಯು ಯಾವ ಭ್ರಮೆಯ ಹೆಸರನ್ನು ಪುನರಾವರ್ತಿಸುತ್ತಿದೆ ಎಂಬುದನ್ನು ಗಮನಿಸಬೇಕು ಮತ್ತು ಅದನ್ನು ನೋಂದಾಯಿಸಬೇಕು.
ದೊಡ್ಡ ವ್ಯತ್ಯಾಸವೆಂದರೆ ಅಳತೆ. ಟೈಪಿಂಗ್ ಅಪಘಾತಕ್ಕಾಗಿ ಟೈಪಿಂಗ್ನಲ್ಲಿ ದೋಷಪೂರಿತ ಪ್ಯಾಕೇಜ್ ಕಾಯುತ್ತದೆ. ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟ್ ಪ್ಯಾಕೇಜ್ ಮುಂದಿನ ಡೆವಲಪರ್ಗೆ AI-ರಚಿತ ಶಿಫಾರಸನ್ನು ತಲುಪಲು ಕಾಯುತ್ತದೆ, ಮತ್ತು ಅದರ ನಂತರ ಒಂದು ಮತ್ತು ಅದರ ನಂತರ ಒಂದು, ಪ್ರತಿಯೊಂದು ಸಂಸ್ಥೆಯಾದ್ಯಂತ ಒಂದೇ ಮಾದರಿಯನ್ನು ಬಳಸುತ್ತದೆ.
ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಏಕೆ ಹರಡುತ್ತದೆ? #
ಟೈಪೊಸ್ಕ್ವಾಟಿಂಗ್ ಯಾವಾಗಲೂ ಇರುವಂತೆಯೇ ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಕೂಡ ವೃದ್ಧಿಯಾಗುತ್ತದೆ: ಡೆವಲಪರ್ಗಳು ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ನಂಬುವ ಊಹಿಸಬಹುದಾದ ಮಾದರಿಯನ್ನು ದಾಳಿಕೋರರು ಬಳಸಿಕೊಳ್ಳುತ್ತಾರೆ. ಹೊಸದು ನಂಬಿಕೆಯ ಪ್ರಮಾಣ.
AI-ನೆರವಿನ ಕೋಡಿಂಗ್ನ ಉದಯ, ಸ್ವಾಯತ್ತ ಏಜೆಂಟ್ಗಳು ಮತ್ತು "ವೈಬ್ ಕೋಡಿಂಗ್" ವರ್ಕ್ಫ್ಲೋಗಳು, ಅಲ್ಲಿ ಡೆವಲಪರ್ಗಳು ಕೋಡ್ ಅನ್ನು ಚಲಾಯಿಸುವ ಮೊದಲು ಕಡಿಮೆ ಮತ್ತು ಕಡಿಮೆ ಪರಿಶೀಲಿಸುತ್ತಾರೆ, ಸಾಫ್ಟ್ವೇರ್ ದಾಳಿಯ ಮೇಲ್ಮೈಯನ್ನು ಎರಡು ಕಾಂಕ್ರೀಟ್ ರೀತಿಯಲ್ಲಿ ಬದಲಾಯಿಸಿದ್ದಾರೆ:
ಪ್ರವೇಶ ಬಿಂದು ಇನ್ನು ಮುಂದೆ ಡೆವಲಪರ್ ಮಾತ್ರವಲ್ಲ. ಟೈಪೊಸ್ಕ್ವಾಟಿಂಗ್ ದಾಳಿಯು ಒಬ್ಬ ವ್ಯಕ್ತಿಯ ಟೈಪಿಂಗ್ ತಪ್ಪನ್ನು ಅವಲಂಬಿಸಿರುತ್ತದೆ. ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಮಾದರಿಯೊಳಗೆ ಹುಟ್ಟಿಕೊಳ್ಳಬಹುದು ಮತ್ತು ನೂರಾರು ವಿಭಿನ್ನ ಡೆವಲಪರ್ಗಳಿಗೆ ಹರಡಬಹುದು, ಅವರು ಒಂದೇ ರೀತಿಯ ಪ್ರಶ್ನೆಗಳನ್ನು ಕೇಳುತ್ತಾರೆ ಮತ್ತು ಅದೇ ರೀತಿಯ ಭ್ರಮೆಯ ಶಿಫಾರಸನ್ನು ಪಡೆಯುತ್ತಾರೆ, ಒಂದೇ ದಾಳಿಯ ವ್ಯಾಪ್ತಿಯನ್ನು ಗುಣಿಸುತ್ತಾರೆ.
ದಾಳಿಯ ಮೇಲ್ಮೈ ಸರಪಳಿಯಲ್ಲಿ ಮತ್ತಷ್ಟು ಮೇಲಕ್ಕೆ ಸಾಗಿದೆ. ಮನುಷ್ಯ ಬರೆಯುವ ಕೋಡ್ ಅನ್ನು ಪರಿಶೀಲಿಸಲು ಇದು ಇನ್ನು ಮುಂದೆ ಸಾಕಾಗುವುದಿಲ್ಲ. AI ಸಹಾಯಕ ಸೂಚಿಸುವ ಅವಲಂಬನೆಗಳು, ಅದು ಸಂಪರ್ಕಿಸುವ MCP ಸರ್ವರ್ಗಳು ಮತ್ತು ನೇರ ಮಾನವ ವಿಮರ್ಶೆಯಿಲ್ಲದೆ ಸ್ವಾಯತ್ತವಾಗಿ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಸ್ಥಾಪಿಸುವ ಏಜೆಂಟ್ಗಳನ್ನು ತಂಡಗಳು ಗಮನಿಸಬೇಕಾಗುತ್ತದೆ. ಸಾಂಪ್ರದಾಯಿಕ AppSec, ರೆಪೊಸಿಟರಿಗಳು ಮತ್ತು ಮಾನವ... commits, ಡೆವಲಪರ್, AI ಮತ್ತು ಪ್ಯಾಕೇಜ್ ರಿಜಿಸ್ಟ್ರಿಯ ನಡುವಿನ ಈ ಹೊಸ ಸಂವಹನವನ್ನು ಗಮನಿಸಲು ಎಂದಿಗೂ ವಿನ್ಯಾಸಗೊಳಿಸಲಾಗಿಲ್ಲ, ಅಲ್ಲಿಯೇ ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಅಡಗಿಕೊಳ್ಳುತ್ತದೆ.
ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಅಪಾಯಗಳು #
ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಪರಸ್ಪರ ಸಂಯೋಜಿಸುವ ಆಯಾಮಗಳಲ್ಲಿ ಅಪಾಯವನ್ನು ಸೃಷ್ಟಿಸುತ್ತದೆ ಮತ್ತು ಈ ಪ್ರವೃತ್ತಿ ಹೊರಬರುವ ಬದಲು ವೇಗಗೊಳ್ಳುತ್ತಿದೆ.
- ಪುನರಾವರ್ತಿತ ಶೋಷಣೆ. ಭ್ರಮೆಯ ಹೆಸರುಗಳು ಯಾದೃಚ್ಛಿಕವಾಗಿಲ್ಲದ ಕಾರಣ, ಅದೇ ನಕಲಿ ಹೆಸರು ಸೆಷನ್ಗಳು ಮತ್ತು ಮಾದರಿಗಳಲ್ಲಿ ನಿರೀಕ್ಷಿತವಾಗಿ ಮತ್ತೆ ಕಾಣಿಸಿಕೊಳ್ಳುತ್ತದೆ. ದಾಳಿಕೋರರು ಊಹಿಸುವ ಅಗತ್ಯವಿಲ್ಲ; ಅವರು ಮಾದರಿ ನಡವಳಿಕೆಯನ್ನು ಗಮನಿಸಬೇಕು ಮತ್ತು ಮರುಕಳಿಸುವ ಹೆಸರುಗಳನ್ನು ನೋಂದಾಯಿಸಿಕೊಳ್ಳಬೇಕು, ಒಂದು ಬಾರಿಯ ಭ್ರಮೆಯನ್ನು ಸ್ಕೇಲೆಬಲ್, ಪುನರಾವರ್ತಿತ ದಾಳಿಯಾಗಿ ಪರಿವರ್ತಿಸಬೇಕು.
- ಏಜೆಂಟ್ ಪ್ರಸರಣ. ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಇನ್ನು ಮುಂದೆ ಡೆವಲಪರ್ ಸೂಚಿಸಿದ ಇನ್ಸ್ಟಾಲ್ ಆಜ್ಞೆಯನ್ನು ನಕಲಿಸಿ-ಅಂಟಿಸುವುದಕ್ಕೆ ಸೀಮಿತವಾಗಿಲ್ಲ. ಜನವರಿ 2026 ರಲ್ಲಿ, AI ಕೋಡಿಂಗ್ ಏಜೆಂಟ್ಗಳು ಈಗಾಗಲೇ 237 ರೆಪೊಸಿಟರಿಗಳಲ್ಲಿ ಭ್ರಮೆಯ npm ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಉಲ್ಲೇಖಿಸುವ ಸೂಚನೆಗಳನ್ನು ಹರಡಿದ್ದಾರೆ ಎಂದು ಸಂಶೋಧಕರು ಕಂಡುಕೊಂಡರು, ಏಜೆಂಟ್ಗಳು ಇನ್ನೂ ಪ್ರತಿದಿನ ಅದನ್ನು ಸ್ಥಾಪಿಸಲು ಪ್ರಯತ್ನಿಸುತ್ತಿದ್ದಾರೆ, ತಪ್ಪನ್ನು ಹಿಡಿಯಲು ಯಾವುದೇ ಮಾನವ ಲೂಪ್ನಲ್ಲಿಲ್ಲ.
- ಹೆಸರು-ಸಾದೃಶ್ಯ ತಪ್ಪಿಸಿಕೊಳ್ಳುವಿಕೆ. ಸರಿಸುಮಾರು 38% ಭ್ರಮೆಯ ಹೆಸರುಗಳು ನಿಜವಾದ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಹೋಲುತ್ತವೆ, ಇದು ಡೆವಲಪರ್ ಪರ್ಯಾಯವನ್ನು ಒಂದು ನೋಟದಲ್ಲಿ ಗುರುತಿಸುವ ಸಾಧ್ಯತೆಯನ್ನು ಕಡಿಮೆ ಮಾಡುತ್ತದೆ. ವಿಶ್ವಾಸಾರ್ಹ ಅವಲಂಬನೆಯಿಂದ ಒಂದು ಅಕ್ಷರವನ್ನು ಬೇರ್ಪಡಿಸುವ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ ಅನುಮಾನಾಸ್ಪದವಾಗಿ ಕಾಣುವುದಿಲ್ಲ; ಅದು ನೀವೇ ಮಾಡಿಕೊಳ್ಳುವ ಮುದ್ರಣದೋಷದಂತೆ ಕಾಣುತ್ತದೆ.
- ಪತ್ತೆಯಾದ ನಂತರ ನಿರಂತರ ಮಾನ್ಯತೆ. ಕಾನೂನುಬದ್ಧ ESLint ಪ್ಲಗಿನ್ ಅನ್ನು ಬದಲಾಯಿಸಿದ ಭ್ರಮೆಯ ಪ್ಯಾಕೇಜ್, ನೋಂದಾವಣೆ ಅದನ್ನು ಭದ್ರತಾ ಹಿಡಿತದಲ್ಲಿ ಇರಿಸಿದ ನಂತರವೂ ಸಾಪ್ತಾಹಿಕ ಡೌನ್ಲೋಡ್ಗಳನ್ನು ರೆಕಾರ್ಡ್ ಮಾಡುತ್ತಿತ್ತು, ಸ್ಲಾಪ್ಸ್ಕ್ವಾಟೆಡ್ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಫ್ಲ್ಯಾಗ್ ಮಾಡುವುದರಿಂದ ಅದರ ಸ್ಥಾಪನೆಯನ್ನು ತಕ್ಷಣವೇ ನಿಲ್ಲಿಸಲಾಗುವುದಿಲ್ಲ ಎಂಬುದಕ್ಕೆ ಪುರಾವೆಯಾಗಿದೆ.
ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಎಲ್ಲಿ ಅಡಗಿಕೊಳ್ಳುತ್ತದೆ #
ಸ್ಲಾಪ್ಸ್ಕ್ವಾಟಿಂಗ್ನಲ್ಲಿ ಹಿಡಿಯುವುದು ಅತ್ಯಂತ ಕಷ್ಟಕರವಾದ ಭಾಗವೆಂದರೆ ಅದು ಸಂಭವಿಸಿದ ಕ್ಷಣದಲ್ಲಿ ಅದು ದಾಳಿಯಂತೆ ಕಾಣುವುದಿಲ್ಲ; ಇದು ಸಾಮಾನ್ಯ ಪಿಪ್ ಸ್ಥಾಪನೆ ಅಥವಾ npm ಸ್ಥಾಪನೆಯು ಯಶಸ್ವಿಯಾಗಿ ಪೂರ್ಣಗೊಂಡಂತೆ ಕಾಣುತ್ತದೆ, ಏಕೆಂದರೆ ಆಕ್ರಮಣಕಾರರು ಅದನ್ನು ನೋಂದಾಯಿಸಿದ ನಂತರ ಪ್ಯಾಕೇಜ್ ನಿಜವಾಗಿಯೂ ಅಸ್ತಿತ್ವದಲ್ಲಿರುತ್ತದೆ.
ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಸಾಮಾನ್ಯವಾಗಿ ಈ ಕೆಳಗಿನವುಗಳ ಮೂಲಕ ಪ್ರವೇಶಿಸುತ್ತದೆ:
- AI ಕೋಡಿಂಗ್ ಸಹಾಯಕರು ಮತ್ತು ಸಹ-ಪೈಲಟ್ಗಳು. ಆರಂಭಿಕ ಸಲಹೆಯೆಂದರೆ, ಕಾನೂನುಬದ್ಧ, ಕಾರ್ಯನಿರ್ವಹಿಸುವ ಕೋಡ್ ಜೊತೆಗೆ ಪ್ರಸ್ತುತಪಡಿಸಲಾದ ಆವಿಷ್ಕರಿಸಿದ ಪ್ಯಾಕೇಜ್ ಹೆಸರು, ದುರ್ಬಲತೆಯು ಹುಟ್ಟುವ ಸ್ಥಳವಾಗಿದೆ. ಸುತ್ತಮುತ್ತಲಿನ ಕೋಡ್ ಬಗ್ಗೆ ಏನೂ ತಪ್ಪಾಗಿ ಕಾಣುವುದಿಲ್ಲ, ಏಕೆಂದರೆ ಅದು ಸಾಮಾನ್ಯವಾಗಿ ಅಲ್ಲ; ಅವಲಂಬನೆ ಮಾತ್ರ ನಕಲಿಯಾಗಿದೆ.
- ಸ್ವಾಯತ್ತ ಕೋಡಿಂಗ್ ಏಜೆಂಟ್ಗಳು. ಮಾನವ ಪರಿಶೀಲನೆಯಿಲ್ಲದೆ ಅವಲಂಬನೆಗಳನ್ನು ಸ್ಥಾಪಿಸುವ ಏಜೆಂಟ್ ವರ್ಕ್ಫ್ಲೋಗಳು ಒಂದು ಚೆಕ್ಪಾಯಿಂಟ್ ಅನ್ನು ತೆಗೆದುಹಾಕುತ್ತವೆ, ಡೆವಲಪರ್ ಹೆಸರನ್ನು ಪರಿಶೀಲಿಸಲು ವಿರಾಮಗೊಳಿಸುತ್ತಾರೆ, ಇಲ್ಲದಿದ್ದರೆ ಅದು ಯೋಜನೆಯನ್ನು ತಲುಪುವ ಮೊದಲು ಭ್ರಮೆಯ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಹಿಡಿಯುತ್ತದೆ.
- ಯಾವುದೇ ಪರಿಶೀಲನೆ ಹಂತವಿಲ್ಲದ ಪ್ಯಾಕೇಜ್ ವ್ಯವಸ್ಥಾಪಕರು. ಗುರಿ ಪ್ಯಾಕೇಜ್ ಅಸ್ತಿತ್ವದಲ್ಲಿದ್ದರೆ ಮತ್ತು ಅದು ದುರುದ್ದೇಶಪೂರಿತವಾಗಿದ್ದರೆ ಪಿಪ್ ಇನ್ಸ್ಟಾಲ್ ಆಗಲಿ ಅಥವಾ ಎನ್ಪಿಎಂ ಇನ್ಸ್ಟಾಲ್ ಆಗಲಿ ದೋಷವನ್ನು ಉಂಟುಮಾಡುವುದಿಲ್ಲ. ಪ್ಯಾಕೇಜ್ ಮ್ಯಾನೇಜರ್ನ ದೃಷ್ಟಿಕೋನದಿಂದ, ಏನೂ ತಪ್ಪಿಲ್ಲದ ಕಾರಣ ಅನುಸ್ಥಾಪನೆಯು ಸಾಮಾನ್ಯವಾಗಿ ಪೂರ್ಣಗೊಳ್ಳುತ್ತದೆ.
ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಅನ್ನು ಕಂಡುಹಿಡಿಯುವುದು ಮತ್ತು ತಡೆಯುವುದು ಹೇಗೆ #
ಸ್ಲಾಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಅನ್ನು ತಡೆಗಟ್ಟಲು ವಿಲಕ್ಷಣ ಉಪಕರಣಗಳು ಅಗತ್ಯವಿಲ್ಲ. AI ಕೋಡ್ ಅನ್ನು "ಸೂಚಿಸಿದ" ಕ್ಷಣದಲ್ಲಿ ಅವುಗಳನ್ನು ಸಡಿಲಗೊಳಿಸುವ ಬದಲು, ಈಗಾಗಲೇ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಅವಲಂಬನೆ ನೈರ್ಮಲ್ಯ ಅಭ್ಯಾಸಗಳನ್ನು ವ್ಯವಸ್ಥಿತವಾಗಿ ಅನ್ವಯಿಸುವುದು ಇದಕ್ಕೆ ಅಗತ್ಯವಾಗಿರುತ್ತದೆ.
ಯಾವುದೇ ಹೊಸ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಸ್ಥಾಪಿಸುವ ಮೊದಲು ಅದನ್ನು ಪರಿಶೀಲಿಸಿ., ವಿಶೇಷವಾಗಿ AI ಸಹಾಯಕರು ಸೂಚಿಸಿದ ಒಂದು. ಅದು ಅಧಿಕೃತ ನೋಂದಾವಣೆಯಲ್ಲಿ ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ, ಅದನ್ನು ಯಾರು ನಿರ್ವಹಿಸುತ್ತಾರೆ, ಯಾವಾಗ ಪ್ರಕಟಿಸಲಾಯಿತು ಮತ್ತು ಅದರ ಡೌನ್ಲೋಡ್ ಸಂಖ್ಯೆಗಳು ನಿಜವಾಗಿ ಕಾಣುತ್ತವೆಯೇ ಎಂದು ಖಚಿತಪಡಿಸಿಕೊಳ್ಳಿ.
AI-ರಚಿತ ಕೋಡ್ ಪೂರ್ವನಿಯೋಜಿತವಾಗಿ ಸುರಕ್ಷಿತವಾಗಿದೆ ಎಂದು ಎಂದಿಗೂ ಭಾವಿಸಬೇಡಿ.. "ಕೆಲಸ ಮಾಡುವ" ಕೋಡ್ ಎಂದರೆ ಅದರ ಅವಲಂಬನೆಗಳು ಕಾನೂನುಬದ್ಧವಾಗಿವೆ ಎಂದರ್ಥವಲ್ಲ. ಅವಲಂಬನೆ ಪರಿಶೀಲನೆಯು ಕೋಡ್ ಪರಿಶೀಲನೆಯ ಭಾಗವಾಗಿರಬೇಕು, ಅದಕ್ಕೆ ಅಪವಾದವಲ್ಲ.
ತಿಳಿದಿರುವ CVE ಗಳನ್ನು ಮೀರಿ ಅಪಾಯದ ಮಾದರಿಗಳನ್ನು ಫ್ಲ್ಯಾಗ್ ಮಾಡುವ ಅವಲಂಬನೆ ಸ್ಕ್ಯಾನಿಂಗ್ ಅನ್ನು ನಿಯೋಜಿಸಿ: ಅಸಂಗತ ಪ್ಯಾಕೇಜ್ಗಳು, ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಹೆಸರುಗಳಿಗೆ ಅನುಮಾನಾಸ್ಪದವಾಗಿ ಹೋಲುವ ಹೆಸರುಗಳು, ಯಾವುದೇ ಟ್ರ್ಯಾಕ್ ರೆಕಾರ್ಡ್ ಇಲ್ಲದ ಹೊಸ ನಿರ್ವಾಹಕರು ಅಥವಾ ಅಸಾಮಾನ್ಯ ನಡವಳಿಕೆಯೊಂದಿಗೆ ಸ್ಕ್ರಿಪ್ಟ್ಗಳನ್ನು ಸ್ಥಾಪಿಸಿ.
ಆಡಳಿತ ಪದರವಾಗಿ AI-SPM ಅನ್ನು ಅನ್ವಯಿಸಿ. AI ಭದ್ರತಾ ಭಂಗಿ ನಿರ್ವಹಣೆಯು AI- ಪರಿಚಯಿಸಿದ ಅಪಾಯವನ್ನು ನಿಖರವಾಗಿ ಈ ಪ್ರಮಾಣದಲ್ಲಿ ಹಿಡಿಯಲು ವಿನ್ಯಾಸಗೊಳಿಸಲಾದ ಅಭ್ಯಾಸವಾಗಿದೆ, AI- ಸೂಚಿಸಿದ ಅವಲಂಬನೆಗಳನ್ನು ನಿರಂತರವಾಗಿ ಕಂಡುಹಿಡಿಯುವುದು ಮತ್ತು ಮಾನವರು ಹಸ್ತಚಾಲಿತವಾಗಿ ಪರಿಶೀಲಿಸಲು ನೆನಪಿಡುವ ಮೊದಲು ಅವುಗಳನ್ನು ಸ್ಕೋರ್ ಮಾಡುವುದು.
ಕ್ಸಿಜೆನಿಯೊಂದಿಗೆ ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ವಿರುದ್ಧ ಭದ್ರತೆ #
ಡೆವಲಪರ್ಗಳ ಜಾಗರೂಕತೆಯಿಂದ ಮಾತ್ರ ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಅನ್ನು ತಡೆಯಲು ಸಾಧ್ಯವಿಲ್ಲ. "ಪ್ರತಿಯೊಂದು AI-ಸೂಚಿಸಿದ ಪ್ಯಾಕೇಜ್ ಅನ್ನು ಪರಿಶೀಲಿಸಿ" ಎಂದು ಹೇಳುವ ನೀತಿಯು, ಯಾವುದೇ ಮಾನವ ಪರಿಶೀಲನಾ ಪ್ರಕ್ರಿಯೆಯು ಮುಂದುವರಿಸಬಹುದಾದಷ್ಟು ವೇಗವಾಗಿ ಅವಲಂಬನಾ ಸಲಹೆಗಳು ಬರುವ ಸಂಸ್ಥೆಯಲ್ಲಿ ಅನ್ವಯಿಸುವುದಿಲ್ಲ.
ಕ್ಸಿಜೆನಿ ವಿಧಾನವು ಇದನ್ನು ನಿರಂತರ ಪತ್ತೆ ಸಮಸ್ಯೆಯಾಗಿ ಪರಿಗಣಿಸುತ್ತದೆ: AI ದಾಸ್ತಾನು ಮತ್ತು ಎಐ ಬಿಒಎಂ ಪ್ರತಿ AI-ಪರಿಚಯಿಸಿದ ಮೇಲ್ಮೈ ಅಡ್ಡಲಾಗಿ ಅವಲಂಬನೆ SDLC, ಒಬ್ಬ AI ಸಹಾಯಕನು ನಿಜವಾಗಿ ಸೂಚಿಸಿದ ಮತ್ತು ಸ್ಥಾಪಿಸಿದ ವಿಷಯದ ಜೀವಂತ ದಾಖಲೆಯನ್ನು ತಂಡಗಳಿಗೆ ನೀಡುತ್ತದೆ. Xygeni Shield, ನಿಂದ ನಡೆಸಲ್ಪಡುತ್ತಿದೆ MEW (ಮಾಲ್ವೇರ್ ಮುನ್ನೆಚ್ಚರಿಕೆ), ಸಹಿ ಇರುವ ಮೊದಲೇ ಸ್ಲಾಪ್ಸ್ಕ್ವಾಟೆಡ್ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ದುರುದ್ದೇಶಪೂರಿತ ಪ್ಯಾಕೇಜ್ಗಳನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತದೆ ಮತ್ತು ನಿರ್ಬಂಧಿಸುತ್ತದೆ, ಸಹಿ ಆಧಾರಿತ ಸ್ಕ್ಯಾನರ್ಗಳು ತೆರೆದಿರುವ ನಿಖರವಾದ ಅಂತರವನ್ನು ಮುಚ್ಚುತ್ತದೆ.
ನಿಮ್ಮ ತಂಡಗಳು AI ಕೋಡಿಂಗ್ ಸಹಾಯಕರನ್ನು ಬಳಸುತ್ತಿದ್ದರೆ, ಸ್ಲಾಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಸಮಸ್ಯೆ ಈಗಾಗಲೇ ಅಸ್ತಿತ್ವದಲ್ಲಿದೆ. ಮುಂದಿನ ಭ್ರಮೆಯ ಹೆಸರು ಸ್ಥಾಪಿಸುವ ಮೊದಲು ಸಿಕ್ಕಿಹಾಕಿಕೊಳ್ಳುತ್ತದೆಯೇ ಎಂಬುದು ಪ್ರಶ್ನೆ.

FAQ #
ಸ್ಲೋಪ್ಸ್ಕ್ವಾಟಿಂಗ್ ಎನ್ನುವುದು ಸರಬರಾಜು ಸರಪಳಿ ದಾಳಿಯಾಗಿದ್ದು, ಇದರಲ್ಲಿ ದುರುದ್ದೇಶಪೂರಿತ ನಟರು AI ಕೋಡಿಂಗ್ ಸಹಾಯಕರು ಪದೇ ಪದೇ ಭ್ರಮೆಗೊಳಿಸುವ ನಿಖರವಾದ ಅಸ್ತಿತ್ವದಲ್ಲಿಲ್ಲದ ಪ್ಯಾಕೇಜ್ ಹೆಸರುಗಳನ್ನು ನೋಂದಾಯಿಸುತ್ತಾರೆ, AI ನ ಸಲಹೆಯ ಆಧಾರದ ಮೇಲೆ ಡೆವಲಪರ್ ಒಂದನ್ನು ಸ್ಥಾಪಿಸುವ ಮೊದಲು ಅವುಗಳನ್ನು ಮಾಲ್ವೇರ್ನಿಂದ ಲೋಡ್ ಮಾಡುತ್ತಾರೆ.
ದಾಳಿಕೋರರು ಯಾವ ಪ್ಯಾಕೇಜ್ ಹೆಸರುಗಳು AI ಮಾದರಿಗಳು ಪದೇ ಪದೇ ಭ್ರಮೆಗೊಳ್ಳುತ್ತವೆ ಎಂಬುದನ್ನು ಗಮನಿಸುತ್ತಾರೆ, ನಂತರ ನಿಜವಾದ ಡೆವಲಪರ್ ಮಾಡುವ ಮೊದಲು ಆ ನಿಖರವಾದ ಹೆಸರುಗಳನ್ನು ದುರುದ್ದೇಶಪೂರಿತ ಕೋಡ್ನೊಂದಿಗೆ ನೋಂದಾಯಿಸುತ್ತಾರೆ. ಭ್ರಮೆಯ ಹೆಸರು ಪ್ರಾಂಪ್ಟ್ಗಳು ಮತ್ತು ಸೆಷನ್ಗಳಲ್ಲಿ ನಿರೀಕ್ಷಿತವಾಗಿ ಪುನರಾವರ್ತನೆಯಾಗುವುದರಿಂದ, ಒಂದೇ ನೋಂದಾಯಿತ ಸ್ಲಾಪ್ಸ್ಕ್ವಾಟೆಡ್ ಪ್ಯಾಕೇಜ್ ಒಂದೇ ರೀತಿಯ AI ಸಲಹೆಯನ್ನು ಸ್ವೀಕರಿಸುವ ಪ್ರತಿಯೊಬ್ಬ ಡೆವಲಪರ್ ಅನ್ನು ತಲುಪಬಹುದು, ಒಂದು ಮಾದರಿಯ ಕ್ವಿರ್ಕ್ ಅನ್ನು ಸಂಪೂರ್ಣ ಬಳಕೆದಾರ ನೆಲೆಯಲ್ಲಿ ಸ್ಕೇಲೆಬಲ್ ದಾಳಿಯಾಗಿ ಪರಿವರ್ತಿಸುತ್ತದೆ.
ಪರಿಣಾಮಕಾರಿ ಆವಿಷ್ಕಾರ ಎಂದರೆ AI-ಸೂಚಿಸಿದ ಅವಲಂಬನೆಗಳನ್ನು ಸಾಮಾನ್ಯ ಮುಕ್ತ-ಮೂಲ ಅವಲಂಬನೆಗಳ ಉಪವಿಭಾಗವಲ್ಲ, ಒಂದು ವಿಶಿಷ್ಟ ಅಪಾಯದ ವರ್ಗವಾಗಿ ಪರಿಗಣಿಸುವುದು. ಸಹಿ-ಆಧಾರಿತ ಸ್ಕ್ಯಾನಿಂಗ್ ಅನ್ನು ಮಾತ್ರ ಅವಲಂಬಿಸುವ ಬದಲು, AI ಕೋಡಿಂಗ್ ಸಹಾಯಕರು ಮತ್ತು ಏಜೆಂಟ್ಗಳು ನಿಜವಾಗಿ ಸೂಚಿಸುವ ಮತ್ತು ಸ್ಥಾಪಿಸುವ, ನೋಂದಾವಣೆ ಡೇಟಾ (ಪ್ರಕಟಣಾ ದಿನಾಂಕ, ನಿರ್ವಹಣಾ ಇತಿಹಾಸ, ಡೌನ್ಲೋಡ್ ಮಾದರಿಗಳು) ಮತ್ತು ನಡವಳಿಕೆ-ಆಧಾರಿತ ಮಾಲ್ವೇರ್ ಪತ್ತೆಗೆ ವಿರುದ್ಧವಾಗಿ ಅಡ್ಡ-ಉಲ್ಲೇಖಿಸಲಾದ ಗೋಚರತೆಯ ಅಗತ್ಯವಿದೆ.