실제로 존재하지 않는 AI 모델도 여러 코드 패키지를 추천하고 무기로 배포할 위험이 있다
Credit: Shutterstock/agsandrew
사이버보안 연구팀이 새로운 유형의 공급망 공격인 슬롭스쿼팅(Slopsquatting)에 대해 경고했다. 슬롭스쿼팅은 존재하지 않는 종속성을 추천하는 환각적인 생성형 AI 모델에 의해 유발된다.
미국 텍사스 대학, 버지니아 공대, 오클라호마 대학의 연구팀에 따르면, 패키지 환각은 위협 행위자가 이용할 수 있는 대형 언어 모델(LLM) 생성 코드에서 흔히 볼 수 있는 현상이다.
연구팀은 논문에서 “파이썬이나 자바스크립트 같은 인기 있는 프로그래밍 언어가 중앙 집중식 패키지 저장소와 오픈소스 소프트웨어에 의존하고, 코드 생성 LLM의 출현과 결합해 소프트웨어 공급망에 새로운 유형의 위협인 패키지 환각을 야기했다”라고 밝혔다.