A segurança de projetos abertos baseados em LLM acabou sendo baixa

Novos projetos de IA de código aberto baseados em grandes modelos de linguagem estão ganhando enorme popularidade em questão de meses. Mas, de acordo com Dark Reading, seu nível de segurança deixa muito a desejar. Além disso, das milhares de versões existentes, algumas das versões mais novas são as mais populares.

Como descobriu a empresa de segurança cibernética Rezilion, as empresas que usam soluções baseadas em LLM inevitavelmente colocam seus negócios em risco. Assim, após analisar os 50 projetos mais populares baseados em LLM no GitHub, a empresa chegou a conclusões interessantes. Para a avaliação foi utilizada a ferramenta Scorecard da Open Source Security Foundation, que leva em consideração diversas características dos projetos, desde o número de vulnerabilidades até a forma como o suporte é fornecido, entre outros fatores.

Fonte: Rezilion See More

Sabe-se que, desde a estreia pública do ChatGPT, mais de 30 mil projetos usando GPT-3.5 apareceram no GitHub e estão ativamente integrados a uma variedade de soluções de software. Os pesquisadores compilaram um “mapa” de projetos populares, onde o eixo y indicava o nível de popularidade e o eixo x indicava o nível de segurança com base na classificação do OpenSSF Scorecard. Como resultado, nenhum dos projetos avaliados obteve mais de 6,1 pontos em 10 possíveis. Em outras palavras, todas as soluções baseadas em LLM mais populares estão associadas a um alto nível de risco e a pontuação média foi de 4,6.

Fonte: Rezilion See More

Vale ressaltar que o projeto Auto-GPT mais popular, que marcou quase 140 mil estrelas na classificação local do GitHub, apareceu no repositório há menos de três meses e recebeu uma classificação do Scorecard de 3,7 – a decisão é extremamente arriscada. Novos projetos estão tendo um crescimento exponencial em popularidade, diz Rezilion, mas desenvolvedores e equipes de segurança devem estar cientes dos riscos associados a essas soluções.

Segundo os especialistas da organização, quando se trata de um novo projeto, é impossível prever com segurança se ele vai evoluir e ser apoiado. Tendo atingido rapidamente o pico de popularidade, muitos projetos mantêm um baixo nível de segurança – quando os pesquisadores avaliaram a proporção entre a idade dos projetos e seu nível no Scorecard, descobriu-se que os desenvolvimentos mais populares tinham dois meses e eram classificados como 4,5– 5 pontos em 10.