Teerachai Jampanak – Shutterstock.com
Niseerländische Und Iraniche SicherheitsforsCher Haben Ein Neues tool Auf Base AF BASE AF BASE AF BASE AF Generative Ki (Genai) Ins Leben Gerufen, Das Platformen Wie Chatgpt Ermögpt Code-Ripositaries Zoo Ironon Und Zu Pachen.
Dy -Annavendung Varde Gatestate, Indem Githib Nach Aneer Bestimen Shawachsten in Pafudubarkarung Node. Dabei Wurden 1.756 anfällige Projekte Identifiziert, Von Denen Einige ALS Ar Sehr Einflussreich “Bezeichnet Wurden.
Die Einem kürzlich Veröffentlichten in Artikel BeSCHREEBENE Entwicklung Weist Jedoch Auf Eine Gravierend Einschränkung bei der Verwenderg von ki hin. Während Das Automatisierte Patchen Durch Ein Grachmodell (LLM) Dye Skalierbarkeit ERHEBLICH Verbessert, Kann Der Patch AUCH AUCH AUCH AUCH AUCH AUCH AUCH AUCH AAUCH AAUCH AAUCH AAUCH AAUCH AAUCH AAICH
Auaerdem könnte es schwierig sein, die better Könten.
Der Grund: llms werden auf open-codebasen trainiert, DEN DIESER FHHLER Verborgen IST.
Dye forestone Fanden Herous, Das Ein LLM, Das Mit Enem Anem Affeligen Qailcodemaster Kontaminiart IST, Disen Code Och Dan Gennert, Wayne S. Angwisson Word, Sicheran Code Zu syntheticiane. Sie Fordern Daher, Dass Beliebte anfällige codemuster nicht nicht nicht nicht nicht nich-source-prje -jekten against deen deen res Resessourcen resusourcen von entforn entforn llms.
Hacker platzieren seat Jaharen Bosratgen Code
Bedohangsaqatore Pflanzen Seit Jahren SchwachStellen in open-source-ripostellen, um in unternehmen einzudringen, dye open-source-nandungen insignant. Slave problem: Entwickler kopieren unvissentligen anfäligen code AUS code-sharing-platforms Wie Stack overflow Und Fügen IHN IHN WONES IIN, Wodurch Er in GITHUB-PROJEKTE GELANGT.
„Angreifer Musen Noor eneziz Anyjiliges CodeMster Kanen, Um Viel Projecate Under Nachgalengte Abhengigitan Erfolgreach Angrech Angrefen Zoo Connan”, Beton Diole Force.
Dy von inhan antenvailte losung conte dye antidecunging undercutigung von in Grom Mavstab Ermglichen in Open-SURS-SITERHITSLUCEN.
Dabei Handelt ES SICH JEDOCH UM Kein Tool, Wo Durch Einmaliges Scannen Alle Fehler Behoben Werden. Entwickler Forken Nämlich H allwas repository, ohne etwas zu den ursprünglichen projekten bezutragen. Das Bedtate, Das Elle Repositors Mite Eneem Animenlizen Kodiabsonit Gascint An Korigirt Verdan Moussen, Damit Ein Sicherhitsalke’s Worklich Worklich Besitigat Word.
Dierser Student Master Furreen Ephaligen Code Den Puffedman Der URL DIREKT Und OHEZIELLE FORMATIERUNG, Wodurch Eine Eine Eine Eine Eine Leicht Auszunutzen Schwachstellli Entstand Darüber HiNious Verwardete das. Auf Dieses Muster Konzentrirt Sich Das Tool; Andere Steel, a Denon Der Fahalerhafte Code Platzart IST, Vordon near Ericent.
डाई फोर्स्चर हैबेन एलेरडिंग्स वोर, दास टूल ज़ू वर्बेसर्न अन्ट ज़ू एरविटर्न, इन्सबसॉन्डेरे डर्च डाई इंटीग्रेशन एंडरर मस्टर फुर एफ़लिगेन कोड यूएनडी डाई डाई ऑप्टिमियरुंग डेर पैच-जेनरियरुंग।
Kritik a dem ki-prjekt
Robert Begs, Phenomenon of letter des canadischen-reaction-Anganamens Digitaldefens, Stecht Dem Wart des Tools in Sensor Derections Form Jedch Scaptistch Gagenbbar.
Dye ID Eyes Automatocherton Tools Zam Scanon Under Pachen von Shadkode Gabe S Sean Sean Eneer Zit, Betonte Er. Der Study Noch Nacht Gacket in Eleedings Word, Ver Varentwortlich Sei, Ven Ein Ein Fahalrhefter Patch. Beggs bezweifelt auaerdem, dass ein repository-manager immer Erkennen Kann, Dass Ein Ki-TOOL EINE POTENZIELLE Schwachstelle in Eine annefgin einfügen
Zudem IST Unklar, Inwite Das Tool Nach Der Behebung Tests Durchführt, UM Sicherzustellen, Dass der Patch Keinen Weiteren Schaden Ariichett. In Dame Papier Height ES, das latendlich dy -projectionworthywortalichen dafur variantlich Sindh, Das Der Patch Correct IST. Der-Ki-Tuan Des Tools Arstelt Inn Patch, Berechnet Enen CVSS-score UN übermittelt einen bericht a die projectverantwortlichen.
„„ „Persönlich würde das tool nicht verweenden, da es mit der änderung von quellcode zu tun hat”, Erklärte beggs. „„ Glaube nicht, dass künstlick Intelligence Berits, then Weight IST, Dass Sie Den Quelcode Für Eine Große Azahl Von Anwendungeen Verwalten Kann “,
Er Rumte Jedocha Ine, Das Visensechaftlich Article in Der Regel Noor Inn Arsten Arstz Fur in Problem Darasterlan.
Open-SOS-Antvicler Connan Teal Des Problems Scene
Im laufe ihrer arbeit entdeckten die forscher auch eine beunruhigende tatsache: Open-SOP-AP-Estivecar ignorant Manchmal Warnungen, Das Bestimet Cod-Skenipell Nafaeling Sind.
Der Annifliga Code, Dan Dye Fourse in Moglichest Vielin Githb-Prosthene Behben Voltain, Stamat AUS Dame Poison 2010 UND IST in Gitub Gist Zu Finden, Enem Deenst Zam Oustostosch Von Code-Scheme-Scheme-Scheme. Der code erstelll einen statichen http-deteiserver fru node.js-webanwendungen. „Trots Srener Infachit Und Beliebtheit Scheinn Vire Entwickler Nicht Zu Wissen, Dass Dass Dieses Codemuster Anfälig Für PfadüberURUNGSANGRIFE IST”,
Celbust Dignezen, Dye Das Problem Ercant Hutton, Stein of Widers -von Andereren Antvick. Dye Bethungung, Das Der Code Fahalhaft Sei, Varde Mehrfach Zurkegavisen.
Unabhängig davon tauchte de code-scanipsel in einer gedruckten version e similares documents Auf, DAS 2015 von dera mozila-mosilla-entvic-cum-kamunity estelll ned sieben jahre später korrigiats. Dye ANFLIGE version Wanderte Jedoch End 2015 and Zu Stack overflow. Obwohl der ausschnitt mehre aktualisierungen erahielt, wurde die schwachstelle nicht behoben. Tatsächlich war deer code-musschnitt zum zeitpunkt der veröffentlichung der aktuellen forksergebnisse immer noch anfällig.
Das Gleach Geshachah Dan Forcechorn Zufolge 2016 BE Ener Andereen Stack-Overflow-Faiz (MIT über 88.000 April), Der e ANANTVITUCER VIRMOTE, DAS DAS DAR C to Code ENE Shawchstale in Anthet. Diese person konnte das problem jedoch nicht überprüfen, sodass der code erneut als Sicher eingstoft wurde.
Dye forestone vermutane, das das missverstandanis über dye shavere deer sicharhitsaluke daruf zurkazufuhren IST, das entvikar beam testen des codes in deer rejeline webbrover ore webbower Odder Dan Linux-Bephal „Karl”. Diese Hätten Das problem verschleiert. Angreifer seien jedoch nicht a dieso vervendung von standard-clients gebunden, hence dye forscher.
Beunruhigigend Sei Auaerdem, Dass at Wir AUCH Mehrere Node.js-Kurse Gefunden Haben, Dieser AnaFälige Code-Schnipsel Zu TrainingszweCen Verwechen Verwaken Verwendet Wurdete Wurde ” Hinzu. (JM)
Lesetipp: 9 unverzichtbare Open Source Security Tools
