Investigadores de seguridad de la empresa de gestión de riesgos cibernéticos Vulcan.io publicaron una prueba de concepto sobre cómo los hackers pueden utilizar ChatGPT 3.5 para difundir códigos maliciosos desde repositorios confiables.
La investigación destaca los riesgos de seguridad inherentes a confiar en las sugerencias de ChatGPT para soluciones de codificación.
La metodología utilizada por los investigadores consistió en recopilar preguntas frecuentes sobre codificación en el foro de preguntas y respuestas Stack Overflow.
Seleccionaron 40 temas de codificación y utilizaron las primeras 100 preguntas para cada uno de los 40 temas. Las preguntas se hicieron en el contexto de Node.js y Python.
Luego, los investigadores filtraron las preguntas para aquellas que contenían paquetes de programación en la consulta.
Utilizaron ChatGPT para replicar el enfoque de un atacante y obtener la mayor cantidad posible de recomendaciones de paquetes inexistentes en el menor tiempo posible.
Escanearon las respuestas para encontrar recomendaciones de paquetes de código que no existían.
Los resultados del estudio mostraron que, de las 201 preguntas sobre Node.js, ChatGPT recomendó 40 paquetes que no existían.
Esto significa que el 20% de las respuestas de ChatGPT contenían paquetes de código inexistentes. Para las preguntas en Python, más de un tercio de las respuestas contenían paquetes de código ficticios, totalizando 80 paquetes que no existían.
Los investigadores resaltan la importancia de verificar las recomendaciones de ChatGPT antes de utilizarlas. Recomiendan verificar información como la fecha de creación del paquete, la cantidad de descargas realizadas y la falta de comentarios positivos y notas adjuntas a la biblioteca.
La investigación muestra la importancia de verificar la veracidad de las recomendaciones de ChatGPT antes de utilizarlas, especialmente en el campo de la codificación.
