Check Point：AI 代码助手的“幽灵依赖”危机，全球开发者的共同考题

　阿里云优惠券 先领券再下单6Ze28资讯网——每日最新资讯28at.com

生成式 AI 正在深度改变软件工程流程。Stack Overflow 2024 全球开发者调查显示，76% 的受访者已在或计划在编码过程中使用 AI 工具，而“AI 写代码”正逐步成为主流工作方式。在中国，这一趋势同样迅猛——《2024 中国开发者调查报告》指出，69% 的国内开发者已经在日常工作中使用 AI 工具。6Ze28资讯网——每日最新资讯28at.com

幻觉依赖与“Slopsquatting”攻击6Ze28资讯网——每日最新资讯28at.com

美国三所高校在 2025 年联合发布的研究显示，开源大语言模型在生成代码时，平均有 21.7% 的依赖包属于“幻觉”——根本不存在于 npm 或 PyPI 仓库；商业模型的这一比例也达到 5.2% 。攻击者据此衍生出“Slopsquatting”——专门监控 AI 建议的虚构包名并抢注，再将恶意代码植入。一旦开发者无条件接受助手推荐，就可能把木马依赖自动写进 CI/CD 流水线，恶意代码随之从开发环境一路扩散到生产系统。6Ze28资讯网——每日最新资讯28at.com

2023 年底的 huggingface-cli 事件便是一记警钟。该名称本是 AI 助手反复生成的“幽灵依赖”，结果被研究人员注册至 PyPI 后，在短短几天内就被数千名开发者下载集成，所幸测试包并未植入恶意载荷。若换作真正黑客大规模运营，同样的漏洞足以让全球项目同时“中招”。6Ze28资讯网——每日最新资讯28at.com

Check Point：“AI 对抗 AI”的供应链安全新思路6Ze28资讯网——每日最新资讯28at.com

Check Point Research 指出，开发者依赖 AI 助手而形成的“信任真空”正被黑客利用。对此，Check Point 在过去几年中不断强调“AI 对抗 AI” 策略的重要性。Check Point用户可利用 ThreatCloud AI 近百个算法引擎持续分析全球节点，一旦发现未知风险便即刻给出阻断建议，阻止漏洞进入生产链路。对开发者而言，这意味着在不牺牲效率的前提下，把“人盲审”变成“AI 先验 + 人复核”的双保险。6Ze28资讯网——每日最新资讯28at.com

行动建议6Ze28资讯网——每日最新资讯28at.com

开发和安全团队必须采取严格的实践措施，以有效应对依赖管理漏洞。首先，对AI生成的建议保持怀疑态度——切勿盲目信任建议的依赖项。实施严格的验证流程，手动验证不熟悉的包名称，并始终使用锁定文件、固定版本和加密哈希验证。此外，维护内部镜像或可信包白名单可大幅降低受恶意新包影响的风险。研究人员测试了多种减少幻觉的方法，其中包括检索增强生成（RAG）和监督式微调。虽然这些技术显著减少了幻觉的发生率（最高可达85%），但它们也引入了一个关键的权衡，即对整体代码质量产生不好的影响。这强调了需要全面的安全解决方案，能够在不牺牲开发效率的情况下主动识别威胁。6Ze28资讯网——每日最新资讯28at.com

结语6Ze28资讯网——每日最新资讯28at.com

AI 编码助手让开发速度再攀高峰，也将供应链防护推入前所未有的“倍速时代”。当“幽灵依赖”成为新的攻击入口，唯有用更智能、更主动的安全能力去匹配 AI 赋能的开发模式，才能守住软件供应链的最后防线。6Ze28资讯网——每日最新资讯28at.com

申请创业报道，分享创业好点子。点击此处，共同探讨创业新机遇！6Ze28资讯网——每日最新资讯28at.com

本文链接：http://www.28at.com/showinfo-20-164224-0.htmlCheck Point：AI 代码助手的“幽灵依赖”危机，全球开发者的共同考题

声明：本网页内容旨在传播知识，若有侵权等问题请及时与本网联系，我们将在第一时间删除处理。邮件：2376512515@qq.com

上一篇： 从比特币到CABA：下一个十年的技术革命，是数字生命

下一篇： 什么时候？国补结束了吗？政策第二轮7月恢复，2025年国家补贴截止时间12月31日结束