Python-arendaja päästis end pettusest tänu vaistule ja tehisintellektile

Python-arendaja Roman Imankulov pääses napilt küberründest, mis sihtis arendajaid LinkedIni kaudu. Tema poole pöördus väidetav värbaja väikesest krüptoettevõttest, kes otsis juhtivat inseneri ja palus tal üle vaadata kontseptsiooni tõestava koodi, mis ei töötanud. Midagi tundus kahtlane, mistõttu Imankulov klooniski hoidla Hetzneri virtuaalserverisse ja kasutas selle analüüsimiseks oma Pi kodeerimisagenti (mis töötab Codexi peal). Üllatuseks hoiatas tehisintellekt (AI) teda kohe: koodi ei tohi käivitada, kuna selles on lõks. Mudel tuvastas failis app/test/index.js tagaukse — see oli serveri URL, mis oli maskeeritud testimisseadistuse osaks, ning võrgupäring, mis käivitab serverist saadetud suvalise koodi. Imankulov tunnistas, et oli ise faili sirvinud ja pidanud seda lihtsalt lohaka arendaja tööks. Hoidla paigaldamine käsuga npm install oleks tagaukse kohe käivitanud, sest faili package.json sisaldas paigaldusjärgset prepare-konksu. Turvaarhitekt Devashri Datta sõnul on rünnak salakaval just seetõttu, et kasutab ära tavapärast arendusvoogu — käsku npm install, mida arendajad jooksutavad automaatselt. Pahatahtlik hoidla on GitHubist eemaldatud, kuid koopia on endiselt leitav.

Loe täispikka artiklit: The Register

Lisa kommentaar