Sommario
L’integrazione di applicazioni di intelligenza artificiale nei prodotti software è in crescita, ma la sicurezza di questi progetti rimane una preoccupazione. Secondo un’analisi recente condotta da Rezilion, una società specializzata nella sicurezza della catena di approvvigionamento del software, i progetti Open Source basati su Large Language Model (LLM) sono immaturi dal punto di vista della sicurezza, esponendo le organizzazioni a vari rischi.
Popolarità e sicurezza: un compromesso
Il team di ricercatori di Rezilion ha analizzato 50 dei più popolari progetti basati su LLM su GitHub, misurando la loro popolarità in base al numero di stelle e valutando la loro postura di sicurezza attraverso il punteggio OpenSSF Scorecard. Questo strumento valuta vari fattori, come il numero di vulnerabilità, la frequenza di manutenzione del codice e le dipendenze su cui si basa il progetto. Nessuno dei progetti analizzati ha ottenuto un punteggio superiore a 6,1, indicando un alto livello di rischio di sicurezza. Il punteggio medio era di 4,6 su 10.
Rischi associati ai nuovi progetti
I progetti LLM di recente costituzione raggiungono rapidamente il successo e testimoniano una crescita esponenziale in termini di popolarità. Tuttavia, i loro punteggi di sicurezza rimangono relativamente bassi. Quando un progetto è nuovo, ci sono maggiori rischi riguardo la stabilità del progetto, e non è chiaro se continuerà a evolversi e a essere mantenuto. La maggior parte dei progetti analizzati aveva tra due e sei mesi.
Considerazioni per le organizzazioni
Quando le organizzazioni prendono in considerazione l’integrazione di progetti open source nei loro codici, devono valutare diversi fattori, come la stabilità del progetto, il supporto attuale, la manutenzione e il numero di persone che lavorano attivamente al progetto. È essenziale che i team di sviluppo e sicurezza comprendano i rischi associati all’adozione di nuove tecnologie e valutino attentamente tali tecnologie prima del loro utilizzo.
Conclusioni e raccomandazioni
Le organizzazioni devono essere caute nell’adottare progetti LLM open source, in particolare quelli nuovi e in rapida crescita. È importante valutare attentamente la sicurezza e la stabilità di questi progetti e considerare i potenziali rischi prima di integrarli nelle soluzioni software.
