Istraživači su identifikovali sofisticiranu prijetnju u lancu snabdijevanja koja cilja radne procese razvoja potpomognute umjetnom inteligencijom, gdje zlonamjerni akteri iskorištavaju sklonost “kodirajućih agenata” da “haluciniraju” nepostojeće nazive paketa kako bi distribuirali zlonamjerni softver.
Ovaj novi vektor napada, nazvan “slopsquatting”, predstavlja evoluciju tradicionalnog typosquattinga koji se specifično fokusira na automatizovane radne procese koje sve više koriste programeri oslanjajući se na AI pomoćnike za kodiranje.
**Razumijevanje slopsquatting prijetnje**
Slopsquatting napadi iskorištavaju temeljni nedostatak u AI kodirajućim agentima: njihovu sklonost generisanju uvjerljivih, ali potpuno izmišljenih naziva paketa tokom generisanja koda.
Za razliku od tradicionalnog typosquattinga, koji se oslanja na ljudske greške pri kucanju, slopsquatting kapitalizuje na AI-generisanim halucinacijama kako bi prevario programere da instaliraju zlonamjerne pakete.
Napad funkcioniše tako što glumci prijetnje prate uobičajene obrasce halucinacija popularnih kodirajućih agenata, a zatim unaprijed registruju te fiktivne nazive paketa na javnim repozitorijumima poput PyPI.
Kada programeri naknadno pokrenu AI-generisane komande za instalaciju, oni nehotice preuzimaju i izvršavaju zlonamjerni softver prerušen u legitimne zavisnosti.
Tokom nedavnog istraživanja, istražitelji su primijetili napredni kodirajući agent koji je samouvjereno generisao savršeno uvjerljiv naziv paketa koji nije postojao, samo da bi se izrada srušila s greškom “modul nije pronađen”.
Još više zabrinjavajuće bilo je saznanje da bi zlonamjerni akteri mogli lako registrovati ove halucinirane nazive, pretvarajući nevine AI sugestije u potencijalne sigurnosne propuste.
**Ugroženost platformi za AI kodiranje**
Istraživanje je ispitalo stope halucinacija na više platformi za AI kodiranje, uključujući Claude Code CLI kompanije Anthropic, Codex CLI kompanije OpenAI i Cursor AI poboljšanog protokolom za validaciju konteksta modela (MCP).
Testiranje je pokazalo da, iako napredni kodirajući agenti uključuju mehanizme za rasuđivanje i validaciju kako bi smanjili fiktivne zavisnosti, oni ne mogu u potpunosti eliminisati rizik.
Temeljni modeli pokazali su povremene skokove od dva do četiri izmišljena naziva paketa kada su dobili uputstva da spakuju više novih biblioteka.
Ove halucinacije su se tipično javljale tokom zadataka visoke složenosti, gdje bi modeli spajali poznate termine poput “graph” i “orm” u uvjerljive, ali nepostojeće nazive paketa.
Napredni kodirajući agenti pokazali su otprilike 50% manje halucinacija u poređenju sa temeljnim modelima, zahvaljujući funkcijama kao što su produženo razmišljanje, pretraga uživo na webu i svijest o kodnom bazisu.
Međutim, oni su i dalje pokazivali ranjivosti u specifičnim scenarijima, uključujući popunjavanje praznina u kontekstu i mimikriju površinskih oblika, gdje agenti stvaraju legitimno zvučeće pakete na osnovu konvencija o imenovanju zasnovanih na statistici bez odgovarajuće validacije.
Čak i Cursor AI sa MCP-podržanom validacijom u realnom vremenu, koji je postigao najniže stope halucinacija, povremeno je propuštao granične slučajeve koji uključuju “pozajmljivanje imena” preko ekosistema i heuristiku spajanja morfema.
**Sveobuhvatne strategije odbrane**
Sigurnosni stručnjaci preporučuju implementaciju slojevitih odbrambenih mehanizama za borbu protiv slopsquatting napada.
Praćenje porijekla putem materijala za softverske račune (SBOM) pruža revizibilne evidencije zavisnosti, dok alati za automatsko skeniranje ranjivosti poput Safety CLI mogu otkriti poznate CVE prije instalacije paketa.
Ključne zaštitne mjere uključuju implementaciju izolovanih okruženja za instalaciju koristeći privremene Docker kontejnere ili efemerne virtuelne mašine, osiguravajući da se AI-generisane komande izvršavaju u izolovanim prostorima.
Organizacije bi također trebale implementirati petlje za validaciju pokrenute promptom koje zahtijevaju provjeru postojanja paketa u realnom vremenu prije finalizacije rezultata koda.
Procesi odobravanja od strane ljudi ostaju ključni za pregled nepoznatih paketa, balansirajući prednosti automatizacije s nadzorom sigurnosti.
Dodatne zaštitne mjere uključuju kontejnersku izolaciju, upravljane cloud izolacije s mrežnim ograničenjima i sveobuhvatne sisteme revizije koji bilježe komande za instalaciju i nadziru anomalno ponašanje.
Kako alati za razvoj potpomognuti umjetnom inteligencijom postaju sve rasprostranjeniji, slopsquatting prijetnja naglašava potrebu za poboljšanim sigurnosnim okvirima u automatizovanim radnim procesima kodiranja.
Istraživanje pokazuje da, iako su trenutni AI agenti značajno poboljšali smanjenje fiktivnih zavisnosti, potpuno eliminisanje ove ranjivosti ostaje nedostižno.
Organizacije moraju prepoznati da jednostavne provjere repozitorijuma paketa pružaju nedovoljnu zaštitu, jer zlonamjerni akteri mogu proaktivno registrovati halucinirane nazive.
Ključ leži u tretiranju rješavanja zavisnosti kao rigoroznog, revizibilnog radnog procesa, a ne samo kao pogodnosti, čime se značajno smanjuje površina napada za eksploataciju lanca snabdijevanja.
