AI生成代码或成软件供应链灾难:虚假依赖库引发安全危机
talkingdev • 2025-05-09
4317 views
最新研究揭示,AI生成的代码存在严重的安全隐患,可能对软件供应链造成灾难性影响。研究发现,AI生成的代码中经常包含不存在的库引用,这使得系统容易受到依赖混淆攻击。具体数据显示,测试的大型语言模型(LLM)生成的依赖项中有19.7%是虚构的,这为系统安全带来了重大风险。此外,开源LLM比商业LLM更容易产生此类问题,而JavaScript代码的错误率又显著高于Python代码。这一现象凸显了AI代码生成工具在安全性和可靠性方面的不足,可能对依赖自动化代码生成的软件开发流程产生深远影响。随着AI在软件开发中的普及,这一问题亟需行业关注和解决方案。
核心要点
- AI生成代码中19.7%的依赖项是虚构的,存在严重安全风险
- 开源LLM比商业LLM更容易产生虚假依赖,JavaScript错误率高于Python
- 依赖混淆攻击可能通过AI生成的代码威胁整个软件供应链安全