بر اساس گزارش ایتنا و به نقل از ZDNet، کارشناسان بر این باورند که اگر این فناوریها به دست هکرها و گروههای مخرب بیفتد، میتوانند بهراحتی کدهای مخرب را به پروژههای متنباز یا حتی نرمافزارهای تجاری وارد کنند. بهعنوان مثالی، اگر یک عامل هوشمند به مخزنی بزرگ نظیر WordPress یا لینوکس دسترسی پیدا کند، تنها با افزودن چند خط کد نامطلوب در میان صدها هزار یا میلیونها خط کد، میتواند بهسادگی خود را از چشم توسعهدهندگان پنهان کند.
روشهای مختلفی برای انجام این حملات وجود دارد که شامل اضافه کردن بمبهای منطقی با محرکهای پنهانی، ایجاد مسیرهایی برای خروج اطلاعات حساس، تغییر مکانیزمهای بهروزرسانی جهت بارگذاری کدهای آلوده، پنهانسازی در کدهای تست و حتی تضعیف الگوریتمهای رمزنگاری میباشد. این نوع حملات میتوانند با کمترین تغییرات، خسارات فراوانی به بار آورند.
راههای نفوذ نیز بسیار متفاوت هستند؛ از سرقت اعتبارنامههای توسعهدهندگان و مهندسی اجتماعی برای جلب اعتماد، تا سو استفاده از خستگی بررسیکنندگان کد، آلودگی زنجیره تأمین نرمافزار و حتی تسخیر کامل یک مخزن یا سازمان. این موضوعات بهویژه بهدلیل ضعف در سیاستهای بازبینی، نبود کنترلهای دقیق بر روی وابستگیها و عدم آموزش کافی در زمینه امنیت برای مدیران پروژهها، تشدید میشود.
برای مقابله با این خطرات، متخصصان پیشنهاد میکنند که علاوه بر بهرهگیری از ابزارهای تحلیل خودکار و هوش مصنوعی برای شناسایی آسیبپذیریها، باید سیاستهای سختگیرانهتری برای مدیریت دسترسی، بازبینی چندمرحلهای کد، قفلکردن نسخههای وابستگیها و آموزش امنیتی مدیران پروژهها اتخاذ گردد. همچنین، نظارت مداوم بر رفتار مخازن و ثبت و هشداردهی دقیق رویدادها میتواند به جلوگیری از نفوذهای پنهان کمک کند.
در نهایت، همانطور که هوش مصنوعی میتواند به توسعهدهندگان امکانات بیشتری ببخشد، بههمان اندازه نیز میتواند به ابزاری قوی برای خرابکاران تبدیل شود. از این رو، توجه و دقت بیشتری در مدیریت پروژههای متنباز و استفاده از رویکردهای ترکیبی انسانی و ماشینی، بیش از هر زمان دیگری امری ضروری است.