Godišnje izvješće ReversingLabsa o sigurnosti lanca nabave softvera: Broj otkrivenih zlonamjernih open-source paketa veći za 73 posto

Maliciozni akteri ciljali su razvojne procese za AI koristeći mnoge od istih metoda koje su učinkovite i u napadima koji nisu usmjereni na AI. Veći incident u 2025.-toj bila je eksploatacija repozitorija Hugging Face, gdje je korištena tehnika nazvana NullifAI, koja je zlorabila format dokumenta AI modela pod nazivom Pickle (PKL).

Ovaj incident ukazuje na novi trend u kojem napadači mijenjaju taktiku od jednostavne eksploatacije ranjivosti u softveru ka zaobilaženju sigurnosnih mehanizama platforme, kako bi poremetili lanac nabave softvera.

-Neuspjeh u otkrivanju napada ove vrste ukazuje na širi skup problema koji se već javljaju i koji će biti sve teži, kako se bude širila upotreba AI alata u pisanju koda, rekao je Tomislav Peričin, suosnivač i glavni softverski arhitekt u ReversingLabsu.

„U proteklih godinu dana, umjetna inteligencija je sve više pogonila razvoj softvera, te je u isto vrijeme popunila biblioteke i okuražila napadače. U mnogim pogledima, postalo je jasno da je AI istovjetan samom lancu nabave softvera. Premda su do sada ostvarene prednosti bile značajne, popratni sigurnosni rizici su sve alarmantniji. Dok organizacije sagledavaju takav razvoj stvari i gledaju u budućnost, ublažavanje ovih novih rizika zahtijevat će prihvaćanje modernih rješenja za sigurnost lanca nabave softvera.“