به گزارش ایتنا و به نقل از ZDNet، کارشناسان معتقدند اگر این فناوریها به دست افراد یا گروههای مخرب بیفتد، میتوانند به راحتی کدهای مخرب را وارد پروژههای متنباز یا حتی نرمافزارهای تجاری کنند. برای مثال، کافی است عامل هوشمند به مخزن بزرگی مانند WordPress یا لینوکس دسترسی پیدا کند و تنها چند خط کد مخرب را در میان صدها هزار یا میلیونها خط کد اضافه کند؛ موضوعی که بهسادگی از دید توسعهدهندگان پنهان میماند.
برخی از روشهای حمله شامل افزودن بمبهای منطقی با محرکهای پنهان، ایجاد راههای خروج اطلاعات حساس، تغییر مکانیزمهای بهروزرسانی برای بارگذاری کدهای آلوده، پنهانسازی در کدهای تست و حتی تضعیف الگوریتمهای رمزنگاری است. این حملات میتوانند با کمترین تغییرات، آسیبهای گستردهای ایجاد کنند.
راههای نفوذ نیز متنوع است؛ از سرقت اعتبارنامههای توسعهدهندگان و مهندسی اجتماعی برای جلب اعتماد، تا سوءاستفاده از خستگی بازبینهای کد، آلودهسازی زنجیره تأمین نرمافزار و حتی تصاحب کامل یک مخزن یا سازمان. ضعف در سیاستهای بازبینی، نبود کنترل دقیق بر وابستگیها و عدم آموزش امنیتی کافی برای مدیران پروژهها، این تهدید را تشدید میکند.
.jpg)
برای مقابله با این تهدیدها، کارشناسان توصیه میکنند علاوه بر استفاده از ابزارهای تحلیل خودکار و هوش مصنوعی برای شناسایی آسیبپذیریها، باید سیاستهای سختگیرانهتری برای کنترل دسترسی، بازبینی چندمرحلهای کد، قفلکردن نسخه وابستگیها و آموزش امنیتی مدیران پروژهها اتخاذ شود. همچنین، نظارت مداوم بر رفتار مخزن و ثبت و هشداردهی دقیق رویدادها میتواند از نفوذهای پنهان جلوگیری کند.
در نهایت، همانطور که هوش مصنوعی میتواند به توسعهدهندگان قدرت بیشتری بدهد، به همان اندازه نیز میتواند ابزار قدرتمندی برای خرابکاران باشد. به همین دلیل، توجه و هوشیاری بیشتر در مدیریت پروژههای متنباز و استفاده از راهکارهای ترکیبی انسانی و ماشینی، بیش از هر زمان دیگری ضروری است.
