Инструменты программирования с поддержкой ИИ всё активнее внедряются в рабочие процессы разработчиков, но вместе с этим приносят новые риски. Одной из угроз стало то, что ИИ модели нередко предлагают несуществующие имена пакетов. По данным исследований, такие «галлюцинации» встречаются у коммерческих моделей в 5,2% случаев, а у открытых — в 21,7%.
Ранее это просто вызывало ошибки при установке, но теперь злоумышленники используют такие ситуации в своих целях. Они загружают вредоносные пакеты с вымышленными именами в открытые репозитории вроде PyPI и NPM. Если разработчик по ошибке доверится ИИ и установит такой пакет, его система может быть скомпрометирована. Особенно опасны повторяющиеся вымышленные имена, на них и ориентируются атакующие.
Этот новый тип атаки уже получил своё название — слопсквоттинг (от англ. slop, «мусор»), термин предложил Сет Майкл Ларсон из Фонда Python. Это развитие идеи «тайпсквоттинга» — когда вредоносные пакеты маскируются под настоящие.
Ведущий инженер компании Socket Феросс Абухадиджех предупреждает о культурном сдвиге среди программистов: всё больше разработчиков копируют код из ИИ без проверки, так называемый «vibe coding«. Это поведение открывает путь для атак: вредоносные пакеты маскируются под легитимные — с поддельной документацией, GitHub-репозиториями и даже блогами.
Ситуация осложняется тем, что разные ИИ могут поддерживать галлюцинации друг друга. Например, Google Gemini предлагал пользователям вредоносные пакеты, описывая их как надёжные — основываясь на поддельных описаниях.
Известен случай, когда киберпреступник по имени _Iain делился в даркнете схемами создания ботнета на основе тысяч фейковых пакетов в NPM, сгенерированных с помощью ИИ. Он также публиковал обучающие видео по созданию вредоносных библиотек.
Фонд Python уже работает над усилением защиты. В рамках инициативы Alpha-Omega внедряются новые API для жалоб, усиливается взаимодействие с системами безопасности и совершенствуются инструменты обнаружения фальшивых пакетов.
Разработчикам рекомендуют тщательно проверять имена библиотек, использовать локальные зеркала и быть максимально внимательными при работе с кодом, предложенным ИИ.
