مستودع احتيالي تظاهر بأنه مرشح خصوصية رسمي من OpenAI وصل إلى المركز الأول في Hugging Face. مع 244,000 تحميل، مر الرمز الخبيث دون أن يُلاحظ حتى تم اكتشافه وإزالته. يوضح الحادث مخاطر الثقة العمياء في منصات تبادل نماذج الذكاء الاصطناعي، حيث يوزع الجهات الخبيثة برامج ضارة تحت ستار أدوات مشروعة.
كيف يستغل الرمز الخبيث الثقة في النظم البيئية المفتوحة 🛡️
قلد المستودع واجهات ووثائق OpenAI الرسمية لخداع المطورين. عند التشغيل، يمكن للرمز سرقة رموز API أو بيانات الاعتماد أو تثبيت أبواب خلفية. يعتمد Hugging Face على مراجعات المجتمع، ولكن بدون التحقق الآلي من التوقيعات أو التحليل الثابت للتبعيات، يمكن لأي مستودع شائع أن يصبح ناقل هجوم. الدرس: تحقق دائمًا من المصدر والتوقيعات الرقمية قبل دمج كود من طرف ثالث.
بعد 244,000 تحميل: المرشح الذي كان يُرشح بياناتك 🔍
في النهاية، تبين أن مرشح الخصوصية المزعوم هو مصفاة للمعلومات الحساسة. قام المستخدمون بتحميل أداة بحماس وعدت بحمايتهم، فقط ليسلموا بياناتهم على طبق من ذهب. إذا بدا شيء جيدًا جدًا لدرجة يصعب تصديقها، فمن المحتمل أنه حصان طروادة بصياغة جيدة. في المرة القادمة، من الأفضل قراءة التعليقات قبل النقر.