近期发生多起针对OpenAI代码生成工具Codex用户的定向攻击事件,攻击者通过在软件镜像源部署与公开审查版本代码不一致的恶意包,诱导Codex生成包含恶意包调用的程序代码,用户执行后将面临数据泄露、开发环境被入侵的风险。该事件首次暴露生成式AI落地开发场景后的新型供应链风险,引发全球科技安全领域的高度关注。
本轮攻击最早于2024年第二季度被全球网络安全监测机构捕获,核心瞄准的是依赖Codex完成代码补全、第三方库调用的企业级开发人员。相较于传统的供应链攻击直接瞄准开发者的搜索行为,本轮攻击特意针对AI大模型的训练数据偏好、调用推荐逻辑设计,隐蔽性大幅提升。
作为OpenAI面向代码生成场景推出的大模型产品,Codex是GitHub Copilot等多款主流AI编程工具的底层支撑技术。截至2024年上半年,全球使用Codex相关衍生工具的活跃开发者已经突破2300万,其中超过6成开发者会直接复用AI生成的第三方库调用代码,仅不到2成开发者会手动校验推荐软件包的来源安全性。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录
滇公网安备 53252802528133号