Istraživači su otkrili sofisticiranu novu prijetnju u lancu nabavke koja cilja na radne procese razvoja vođene vještačkom inteligencijom, gdje maliciozni akteri iskorištavaju sklonost alata za kodiranje s vještačkom inteligencijom da “haluciniraju” nepostojeće nazive paketa kako bi distribuirali maliciozni softver.
Ovaj novi vektor napada, nazvan “slopsquatting”, predstavlja evoluciju tradicionalnog “typosquattinga” koji se specifično fokusira na automatizovane radne procese koje sve više koriste programeri oslanjajući se na pomoćne alate za kodiranje s vještačkom inteligencijom.
Razumijevanje prijetnje slopsquattingom
Napadima tipa slopsquatting iskorištava se temeljni nedostatak u alatima za kodiranje s vještačkom inteligencijom: njihova sklonost generisanju uvjerljivih, ali potpuno izmišljenih naziva paketa tokom generisanja koda. Za razliku od tradicionalnog typosquattinga, koji se oslanja na greške prilikom ljudskog kucanja, slopsquatting koristi “halucinacije” generisane vještačkom inteligencijom kako bi prevario programere da instaliraju maliciozne pakete.
Mehanizam napada funkcioniše tako što hakeri nadgledaju uobičajene obrasce “halucinacija” popularnih alata za kodiranje, a zatim predregistruju te fiktivne nazive paketa na javnim repozitorijumima poput PyPI-ja. Kada programeri kasnije pokrenu instalacione komande generisane vještačkom inteligencijom, oni nesvjesno preuzimaju i izvršavaju maliciozni softver prerušen u legitimne zavisnosti.
Tokom nedavnog istraživanja, istražitelji su primijetili kako je napredni alat za kodiranje samouvjereno generisao savršeno uvjerljiv naziv paketa koji nije postojao, nakon čega se proces izrade urušio s greškom “modul nije pronađen”. Još zabrinjavajuća je bila spoznaja da bi maliciozni akteri mogli lako registrovati ove “halucinirane” nazive, pretvarajući bezazlene prijedloge vještačke inteligencije u potencijalne bezbjednosne proboje.
Ranjiivost na platformama za kodiranje s vještačkom inteligencijom
Istraživanje je analiziralo stope “halucinacija” na više platformi za kodiranje s vještačkom inteligencijom, uključujući Claude Code CLI kompanije Anthropic, Codex CLI kompanije OpenAI i Cursor AI s omogućenom provjerom modela putem protokola konteksta (MCP). Testiranje je pokazalo da iako napredni alati za kodiranje uključuju mehanizme zaključivanja i provjere kako bi smanjili rizik od fiktivnih zavisnosti, oni ne mogu u potpunosti eliminisati rizik.
Osnovni modeli pokazali su povremene skokove od dva do četiri izmišljena naziva paketa kada su bili podstaknuti da spoje više novih biblioteka. Ove “halucinacije” su se obično javljale tokom zadataka visoke složenosti, gdje bi modeli spajali poznate termine poput “graph” i “orm” u uvjerljive, ali nepostojeće nazive paketa.
Napredni alati za kodiranje pokazali su otprilike 50% manje “halucinacija” u poređenju s osnovnim modelima, zahvaljujući funkcijama poput proširenog razmišljanja, pretraga interneta uživo i svijesti o kodu. Međutim, i dalje su pokazivali ranjivosti u specifičnim scenarijima, uključujući popunjavanje praznina u kontekstu i mimikriju površinskih formi, gdje alati stvaraju legitimno zvučeće pakete zasnovane na statističkim konvencijama imenovanja bez odgovarajuće provjere. Čak je i Cursor AI s MCP-podržanom provjerom u realnom vremenu, koji je postigao najniže stope “halucinacija”, povremeno propuštao granične slučajeve koji uključuju “pozajmljivanje imena” iz različitih ekosistema i heuristike spajanja morfema.
Sveobuhvatne strategije odbrane
Stručnjaci za bezbjednost preporučuju implementaciju slojevitih odbrambenih mehanizama za borbu protiv napada tipa slopsquatting. Praćenje porijekla kroz softverske spiskove materijala (SBOM) pruža revizibilne zapise o zavisnostima, dok alati za automatsko skeniranje ranjivosti poput Safety CLI mogu otkriti poznate CVE prije instalacije paketa. Ključne zaštitne mjere uključuju postavljanje izolovanih okruženja za instalaciju koristeći privremene Docker kontejnere ili efemerne virtuelne mašine, osiguravajući da se komande generisane vještačkom inteligencijom izvršavaju u izolovanim prostorima. Organizacije bi takođe trebalo da implementiraju petlje za provjeru zasnovane na upitima, zahtijevajući provjere postojanja paketa u realnom vremenu prije finalizacije izlaza koda. Procesi odobravanja sa uključenim ljudskim faktorom ostaju suštinski za pregled nepoznatih paketa, balansirajući prednosti automatizacije s nadzorom bezbjednosti. Dodatne mjere bezbjednosti uključuju izolaciju u kontejnerima, upravljane cloud sandboxove s mrežnim ograničenjima i sveobuhvatne sisteme revizije koji bilježe instalacione komande i nadziru anomalno ponašanje.
Kako alati za razvoj vođeni vještačkom inteligencijom postaju sve rasprostranjeniji, prijetnja slopsquattinga ističe potrebu za poboljšanim bezbjednosnim okvirima u automatizovanim radnim procesima kodiranja. Istraživanje pokazuje da iako su trenutni alati s vještačkom inteligencijom napravili značajna poboljšanja u smanjenju fiktivnih zavisnosti, potpuno uklanjanje ove ranjivosti ostaje nedostižno. Organizacije moraju shvatiti da jednostavna provjera repozitorijuma paketa pruža nedovoljnu zaštitu, jer maliciozni akteri mogu proaktivno registrovati “halucinirane” nazive. Ključ leži u tretiranju rješavanja zavisnosti kao rigoroznog, revizibilnog radnog procesa, a ne samo kao pogodne opcije, čime se značajno smanjuje površina napada za eksploataciju lanca nabavke.
