ความเสี่ยงจากดีเพนเดนซี: แพ็กเกจที่ AI คิดขึ้นมาเอง
แอปสมัยใหม่พึ่งพาแพ็กเกจของบุคคลที่สามหลายสิบตัว และ AI ก็แนะนำแพ็กเกจเหล่านี้อย่างเสรี ความเสี่ยงสองอย่างมากับมัน
อย่างแรกคือ typosquatting และแพ็กเกจที่ถูกคิดขึ้นเอง (hallucinated) ผู้โจมตีเผยแพร่แพ็กเกจอันตรายด้วยชื่อที่ต่างจากของจริงนิดหน่อย (เช่น reqeusts แทนที่จะเป็น requests) โดยพนันว่าจะมีคนพิมพ์ผิด บางครั้ง AI ก็นำเข้าแพ็กเกจที่ไม่มีอยู่จริงด้วยความมั่นใจ — และผู้โจมตีที่สังเกตเห็นพฤติกรรมนี้สามารถจดทะเบียนชื่อนั้นพร้อมมัลแวร์ข้างในได้ ก่อนที่จะติดตั้งอะไรก็ตามที่ AI แนะนำ ให้ลองดูก่อนว่า: มันมีอยู่จริงไหม มียอดดาวน์โหลดและรีโพจริงไหม ชื่อสะกดตามที่คุณคาดหวังไหม
อย่างที่สองคือ ดีเพนเดนซีที่ไม่ได้รับการตรวจสอบโดยทั่วไป แพ็กเกจทุกตัวที่คุณเพิ่มเข้ามาคือโค้ดที่ทำงานด้วยสิทธิ์การเข้าถึงเต็มรูปแบบของแอปคุณ ยิ่งดีเพนเดนซีเยอะ พื้นที่เสี่ยงต่อทั้งบั๊กและการโจมตีห่วงโซ่อุปทาน (supply-chain attack) ก็ยิ่งมากขึ้น เลือกไลบรารีที่มีชื่อเสียงและมีน้อยกว่า แทนที่จะใช้แพ็กเกจแปลกหน้าจำนวนมาก และถามตัวเองว่า "เราต้องการแพ็กเกจสำหรับสิ่งนี้จริงหรือ หรือแค่สิบบรรทัดก็พอ?" ก่อนจะเพิ่มมันเข้ามา
รันเครื่องมือตรวจสอบ (audit tool) ของระบบนิเวศของคุณเป็นระยะ ๆ (npm audit, pip-audit และเครื่องมือแบบเดียวกัน) — มันจะแจ้งช่องโหว่ที่รู้จักแล้วในสิ่งที่คุณติดตั้งไปแล้ว และ AI ก็เก่งในการแก้ไขสิ่งที่มันรายงาน