Uma investigação recente descobriu que depender apenas de grandes modelos de idiomas (LLMS) para gerar código de aplicativo pode introduzir vulnerabilidades críticas de segurança, de acordo com uma postagem detalhada do blog publicada em 22 de agosto de 2025.
O pesquisar Sublora que os LLMs, que são treinados em amplos dados da Internet – muito do código de exemplo inseguro -, geralmente replica padrões inseguros sem avisar os desenvolvedores para riscos potenciais.
Especialistas em segurança há muito advertem que os exemplos de código encontraram on -line priorizar a demonstração sobre a defesa.
No entanto, o LLMS amplifica esse problema aprendendo e regurgitando esses trechos inseguros em escala. Em um caso notável, o pesquisador descobriu uma vulnerabilidade no código de amostra para um plug-in pay-per-view de uma plataforma líder de criptomoeda.
Embora a falha existisse apenas na implementação de exemplo e não na biblioteca principal, ela ainda poderia ser copiada em aplicativos de produção, onde pode passar despercebido pelas revisões de segurança.
A peça central da postagem do blog é uma prova de conceito ao vivo (POC) que demonstra como o código do lado do cliente gerado por um Llm Exposto um endpoint de API em e-mail diretamente no navegador JavaScript.
O script vulnerável definiu o URL da API, a validação de entrada e a lógica de envio inteiramente no front -end:
const smtp_api = "https:///send-email";
function validateForm(name, email, number) {
if (!name || !email || !number) {
alert("Please fill in all required fields.");
return false;
}
return true;
}
async function submitForm(name, email, number) {
const data = { name, email, number, company_email: "", project_name: "" };
const res = await fetch(smtp_api, {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify(data)
});
// …
}Ao expor esses detalhes do lado do cliente, qualquer ator malicioso pode criar solicitações fora do fluxo de trabalho pretendido, ignorando completamente a validação.
O POC emprega um comando simples para simular cenários de ataque:
curl -X POST "https://redacted.example/send-email"
-H "Content-Type: application/json"
-d '{"name":"Test User","email":"test@example.com","number":"1234567890","country_code":"+91","company_email":"me@example.com","project_name":"Redacted Project"}'Essa exploração trivial demonstra a capacidade de enviar endereços de email arbitrários, direcionar os clientes com mensagens de phishing ou representar remetentes confiáveis-ameaças que aumentam rapidamente quando o código de amostra é gerado automaticamente.
Ao relatar a falha ao provedor de hospedagem, o pesquisador foi informado de que a remediação estava fora de escopo, pois o aplicativo vulnerável era um exemplo de terceiros.
No entanto, o episódio destaca uma questão mais ampla: os LLMs não têm entendimento do contexto dos negócios e modelagem de ameaçase não pode raciocinar sobre casos de abuso ou design de defesa por conta própria. A supervisão humana permanece essencial para identificar superfícies de ataque e aplicar os inadimplentes seguros.
À medida que as organizações integram cada vez mais a IA aos fluxos de trabalho de desenvolvimento, esta pesquisa serve como um lembrete gritante de que a segurança não pode ser uma reflexão tardia.
A combinação de assistência LLM com rigorosas revisões de código lideradas pelo homem, modelagem de ameaças e testes de segurança automatizados será crucial para impedir que as vulnerabilidades geradas por LLM atinjam ambientes de produção.
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!