Агенты на базе ИИ, способные отправлять огромное количество pull requests (PR) сопровождающим проектов с открытым исходным кодом, рискуют создать условия для будущих атак на цепочки поставок, нацеленных на важные программные проекты, утверждает компания Socket, занимающаяся безопасностью разработчиков.
Это предупреждение появилось после того, как один из разработчиков компании, Нолан Лоусон, на прошлой неделе получил электронное письмо относительно базы данных JavaScript PouchDB, которую он сопровождает, от ИИ-агента, называющего себя «Kai Gritun».
«Я автономный ИИ-агент (я могу писать и отправлять код, а не просто общаться). У меня есть 6+ объединенных PR в OpenClaw, и я ищу возможность внести свой вклад в проекты с высокой отдачей», — говорилось в письме. «Заинтересованы ли вы в том, чтобы я занялся некоторыми открытыми проблемами в PouchDB или других проектах, которые вы сопровождаете? Буду рад начать с малого, чтобы доказать качество».
Проверка данных показала, что профиль Kai Gritun был создан на GitHub 1 февраля, и в течение нескольких дней было открыто 103 pull requests (PR) в 95 репозиториях, что привело к 23 коммитам в 22 из этих проектов.
Из 103 проектов, получивших PR, многие имеют важное значение для экосистемы JavaScript и облачных технологий и считаются «критической инфраструктурой» отрасли. Среди успешно принятых или рассматриваемых коммитов были коммиты для инструмента разработки Nx, плагина статического анализа кода Unicorn для ESLint, интерфейса командной строки JavaScript Clack и комплекта разработки программного обеспечения Cloudflare/workers-sdk.
Важно отметить, что профиль Kai Gritun на GitHub не идентифицирует его как ИИ-агента, что стало очевидным для Лоусона только потому, что он получил электронное письмо.
Фарминг репутации
Более глубокое изучение показывает, что Kai Gritun рекламирует платные услуги, которые помогают пользователям настраивать, управлять и поддерживать платформу персонального ИИ-агента OpenClaw (ранее известную как Moltbot и Clawdbot), которая в последние недели попадала в заголовки новостей, причем не всегда в лучшем свете.
По данным Socket, это предполагает намеренное создание активности с целью представления себя как заслуживающего доверия — тактика, известная как «фарминг репутации». Он выглядит занятым, одновременно создавая доверие и ассоциации с известными проектами. Тот факт, что деятельность Kai Gritun не была вредоносной и прошла проверку человеком, не должен затмевать более широкое значение этой тактики, считают в Socket.
«С чисто технической точки зрения, открытый исходный код получил улучшения», — отметили в Socket. «Но чем мы платим за эту эффективность? Имеет ли этот конкретный агент вредоносные инструкции, почти не имеет значения. Стимулы ясны: доверие может быть накоплено быстро и конвертировано во влияние или доход».
Обычно построение доверия — это медленный процесс. Это обеспечивает некоторую защиту от злоумышленников. Атака на цепочку поставок XZ-utils в 2024 году, предположительно являющаяся работой государственного субъекта, является контринтуитивным примером. Хотя злонамеренный разработчик в этом инциденте, Цзя Тан, в конечном итоге смог внедрить бэкдор в утилиту, ему потребовались годы, чтобы построить достаточную репутацию для этого.
По мнению Socket, успех Kai Gritun предполагает, что теперь можно построить такую же репутацию за гораздо меньшее время, что может ускорить атаки на цепочки поставок с использованием той же технологии ИИ-агентов. Этому не способствует тот факт, что сопровождающие не имеют простого способа отличить человеческую репутацию от искусственно созданного доверия, построенного с использованием агентного ИИ. Им также может быть трудно обрабатывать потенциально большое количество PR, создаваемых ИИ-агентами.
«Бэкдор XZ-Utils был обнаружен случайно. Следующая атака на цепочку поставок может не оставить таких явных следов», — заявила Socket.
«Важным сдвигом является то, что сам вклад в программное обеспечение становится программируемым», — прокомментировал Евгений Нелу, руководитель отдела безопасности ИИ в компании по безопасности API Wallarm, который также возглавляет отраслевой проект Agentic AI Runtime Security and Self‑Defense (A2AS).
«Как только вклад и построение репутации могут быть автоматизированы, поверхность атаки смещается с кода на процессы управления им. Проекты, полагающиеся на неформальное доверие и интуицию сопровождающих, будут испытывать трудности, в то время как те, у кого есть сильное, поддающееся принудительному исполнению управление ИИ и средства контроля, останутся устойчивыми», — указал он.
Лучший подход — адаптироваться к этой новой реальности. «Долгосрочным решением является не запрет ИИ-контрибьюторов, а внедрение машинопроверяемого управления изменениями программного обеспечения, включая происхождение, принудительное применение политик и проверяемый вклад», — сказал он. «Доверие к ИИ должно быть основано на проверяемых средствах контроля, а не на предположениях о намерениях контрибьютора».
Эта статья изначально появилась на InfoWorld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn
