Socket: ChatGPT findet Malware in NPM- und Python-Paketen

Der Anbieter eines Sicherheitsscanners, Socket, nutzt den Chatbot von OpenAI auch zur Untersuchung von Paketen.

Artikel veröffentlicht am ,
Moderne Softwareprojekte nutzen oft zahlreiche Pakete als Abhängigkeiten.
Moderne Softwareprojekte nutzen oft zahlreiche Pakete als Abhängigkeiten. (Bild: Justin Sullivan/Getty Images)

Der Chatbot ChatGPT liegt zwar immer noch bei einigen Details und Fakten falsch, die Zusammenfassungen des Werkzeugs lassen sich aber offenbar dafür nutzen, Malware und Sicherheitslücken zu finden. Das berichtet das Magazin The Register unter Berufung auf den Anbieter Socket, der einen Securiy-Scanner für Python und Javascript unter einem Freemium-Modell vertreibt. Demnach fand das Team mithilfe von ChatGPT insgesamt 227 Sicherheitslücken.

Das Ergebnis der Nutzung von ChatGPT habe Socket überrascht, sagte CEO Feross Aboukhadijeh: "Es hat viel besser funktioniert als erwartet (...) Jetzt sitze ich auf ein paar Hundert Sicherheitslücken und Malwarepaketen und wir beeilen uns, sie so schnell wie möglich zu melden." Socket ist dazu gedacht, sogenannte Supply-Chain-Angriffe zu entdecken, also solche, die über Projektabhängigkeiten eingeschleust werden könnten.

Dass ChatGPT sich prinzipiell für solche Arbeiten eignet, erscheint nicht überraschend, ist das System doch auch auf einer großen Menge Code trainiert und dadurch in der der Lage, übliche Muster zu erkennen. Die gefundenen Sicherheitslücken fallen laut dem Bericht jedoch in zahlreiche verschiedene Kategorien wie "das Ausleiten von Daten, SQL-Injections, hartkodierte Anmeldeinformationen, potenzielle Ausweitung von Berechtigungen und Hintertüren".

Noch sind nicht alle dieser Lücken öffentlich oder gar behoben. Das Magazin The Register konnte aber einige der bereits veröffentlichten Lücken verifizieren und zählte diverse Beispiele auf. Besonders sei bei den gefundenen Lücken, dass sich das KI-System auch nicht von anderslautenden Kommentaren verwirren lasse, zitierte das Magazin Aboukhadijeh.

Der Autor meint dazu:

Zwar können KI-Modelle eine große Hilfe dabei sein, bereits bekannte Muster automatisiert in Hunderttausenden Paketen zu finden. Eine menschliche Überprüfung ist dafür schlicht zu viel Aufwand. Sich aber allein darauf zu verlassen, wird nicht ausreichen. So wird das KI-System wohl sehr schnell an besonders raffinierten Angriffen und Taktiken scheitern, vor allem, falls diese nicht bereits weit verbreitet sind.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
Blizzard
Preise im Itemshop von Diablo 4 entfachen Empörung

Die Community reagiert sauer auf Leaks über die Preise im Itemshop von Diablo 4. Ein Rüstungsset kostet fast so viel wie früher ein Add-on.

Blizzard: Preise im Itemshop von Diablo 4 entfachen Empörung
Artikel
  1. Generative Fill: Wie Adobes KI-Funktionen das Internet spalten
    Generative Fill
    Wie Adobes KI-Funktionen das Internet spalten

    Die KI-Füllfunktion in Photoshop erfindet Hintergründe zu Gemälden oder Album-Covern. Einige finden das kreativ, andere sehen die Kunst bedroht.

  2. Schufa-Score: Hohes Bußgeld wegen Kreditkartenablehnung ohne Begründung
    Schufa-Score
    Hohes Bußgeld wegen Kreditkartenablehnung ohne Begründung

    Die DKB hat einen Kreditkartenantrag nur gestützt auf Algorithmen und den Schufa-Score abgelehnt und dies auch nicht begründet. Das kostet 300.000 Euro Bußgeld.

  3. ROG Ally im Test: Asus nimmt es mit dem Steam Deck auf
    ROG Ally im Test
    Asus nimmt es mit dem Steam Deck auf

    Mit dem ROG Ally bietet Asus eine tolle Alternative zum Steam Deck an. Er ist merklich schneller, hat aber ein paar Schwächen.
    Ein Test von Oliver Nickel

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Gigabyte RTX 3060 Ti 369€ • Kingston Fury SSD 2TB (PS5-komp.) 129,91€ • Sony Deals Week • MindStar: Corsair Crystal RGB Midi Tower 119€, Palit RTX 4070 659€ • Roccat bis -50% • AVM Modems & Repeater bis -36% • Logitech G Pro Wireless Maus 89€ • The A500 Mini 74,99€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /