DeepSeek‑R1 trigger-szavak
A CrowdStrike kutatóinak elemzése ismerteti, hogy a generatív mesterséges intelligencia által előállított szoftverkódok – különösen az olyan platformok mint a DeepSeek‑R1 – rejtett sebezhetőségeket tartalmazhatnak, amelyek kifejezetten politikai vagy állami célú támadásokhoz adnak táptalajt.
A kutatás szerint a DeepSeek-R1 kódgenerátornál azonosított hibák nem csupán véletlenszerű programozási hibák, hanem úgynevezett trigger-szavak használatakor automatikusan olyan sablonokat generál, amelyek könnyebben célozhatók exploitokkal – például rossz jogosultsági ellenőrzést, beágyazott függvényhívást, vagy érzékeny erőforrásokhoz való hozzáférést biztosító mechanizmust. Ez azt jelenti, hogy az AI-eszközök nem csupán gyorsabb fejlesztést tesznek lehetővé, hanem új támadási vektort is generálnak, ahol a támadó – akár szabályos fejlesztőnek álcázva – olyan kódot állíthat elő, amely később jelet kap az ellenség számára. Ilyen trigger-szavak például a Falun Gong, az Uyghurs, vagy éppen a Taiwan, amelyeket a Kínai Kommunista Párt valószínűleg politikailag érzékenynek tart.
A kutatók kiemelik, hogy az ilyen kódgenerátorok használata esetén az egyik legnagyobb veszély az, hogy a fejlesztők és a biztonsági csapatok nem mindig veszik észre, hogy nem humán készítésű kódot fogadnak el, és nem vizsgálják át a generált modulokat ugyanúgy, mint a hagyományos szoftverkomponenseket. Ez a hiányosság lehetővé teszi, hogy az állami vagy államhoz közeli támadók – például a választási infrastruktúrán vagy kritikus állami rendszereken – olyan kódgenerátorral dolgozzanak, mely automatikusan gyenge pontokat tartalmaz, és ezt később nemzetbiztonsági célokra használják fel.
A javaslatok között szerepel, hogy a vezetőknek tudatosan kell kezelniük az AI által gyártott szoftverkódokat, nem tekinthetők boltban készen vett komponensnek. A szoftverfejlesztési ciklusban olyan intézkedéseket kell bevezetni, mint az AI-kód auditálása, a generált modulok különös tesztelése, valamint az AI-előállítású kód használatának korlátozása az állami vagy kritikus rendszerekben. Emellett ajánlott olyan policy-keretek kialakítása, amelyek az AI-eszközök használatának biztonsági feltételeit szabályozzák, illetve fejlesztőket és biztonsági csapatokat készítenek fel arra, hogy a generált kódokat ne kezeljék rutin ellenőrzés nélkül.
