In u 2023, un ricercatore di sicurezza chjamatu Bar Lanyado hà realizatu un esperimentu discretu. Hà nutatu chì l'assistenti di codificazione AI cuntinuavanu à ricumandà un pacchettu Python chjamatu huggingface-cli, un pacchettu chì ùn esistia micca. Cusì l'hà creatu: un segnapostu viotu, caricatu sottu u nome esattu chì i mudelli stavanu inventendu. Ùn hà aghjustatu nisuna funziunalità è nisun payload. Hà solu aspettatu.
In trè mesi, u pacchettu era statu telecaricatu più di 30 000 volte. U cumandamentu d'installazione allucinatu era ancu trovu a so strada in un repositoriu publicu README chì appartene à una grande cumpagnia tecnologica. U pacchettu di Lanyado era innocu. Ma l'esperimentu hà dimustratu qualcosa di inquietante: un attaccante pò prevede ciò chì una IA inventerà, registrallu prima è lascià chì i sviluppatori l'installinu elli stessi. Sta tecnica hà avà un nome, slopsquatting, è hè una di e minacce chì crescenu più rapidamente in a catena di furnimentu di software.
Chì ghjè u slopsquatting?
Slopsquatting hè un attaccu à a catena di furnimentu in u quale un attaccante registra un pacchettu di software maliziosu sottu un nome chì l'assistenti di codificazione AI prevedibilmente allucinanu. Quandu un sviluppatore dumanda aiutu à un strumentu di IA è questu suggerisce l'installazione di una dipendenza chì pare plausibile ma inesistente, l'attaccante hà digià rivendicatu quellu nome in u registru publicu, dunque a suggerimentu "utile" installa malware invece di nunda.
U terminu era inventatu in aprile 2025 da Seth Larson, sviluppatore di sicurezza in residenza à a Python Software Foundation. Hè un ghjocu di parolle nantu à typosquatting, l'attaccu più vechju induve i criminali registranu errori ortografichi di pacchetti populari (richieste invece di dumandeA diffarenza hè a fonte di l'errore: u typosquatting sfrutta l'errori di battitura umani, mentre chì u slopsquatting sfrutta u "slop" di l'IA: l'output sicuru, fluente è sbagliatu chì producenu i grandi mudelli linguistici.
Perchè u slopsquatting funziona veramente
Pudete suppone chì l'allucinazioni di l'IA sò rumori aleatorii: un nome falsu diversu ogni volta, impussibile da trasfurmà in arma. A ricerca dice u cuntrariu, è questu hè u puntu.
Un studiu rivistu da pari presentatu à USENIX Security 2025 (Spracklen et al.) hà testatu 16 grandi mudelli di lingua in 576 000 esempi di codice generati. Hà trovu chì u 19.7% di i pacchetti cunsigliati ùn esistenu micca: 205 474 nomi allucinati unichi in tutale. Criticamente, quelle allucinazioni eranu ripetibileU 43% di i nomi falsi sò riappariti dopu à ripetute richieste, è u 58% si sò ripresentati dopu à dece esecuzioni di a stessa dumanda. I mudelli open-source anu allucinatu i pacchetti u 21.7% di e volte; ancu i mudelli cummerciali cum'è GPT-4 l'anu fattu u 5.2% di e volte: unu nantu à vinti.
A ripetibilità hè ciò chì trasforma una peculiarità in un attaccu. Un attaccante ùn hà bisognu di induvinà. Pò eseguisce prompt populari, registrà quali pacchetti inesistenti i mudelli cuntinueghjanu à suggerisce, è registrà quelli nomi cum'è malware. L'IA face u targeting per elli.
Cumu si sviluppa un attaccu di slopsquatting
A catena d'attaccu hè corta, ciò chì hè in parte per via di a so periculosità:
- Osservà. L'attaccante incarica l'assistenti di codificazione AI di fà travaglii di sviluppu cumuni è registra i nomi di i pacchetti inventati da questi strumenti, ma chì ùn esistenu micca in u registru.
- Registrà. Publicanu un pacchettu maliziosu sottu à unu di questi nomi allucinati, cù un README pulitu, metadati plausibili è un payload piattu in un script d'installazione.
- Wait. Un sviluppatore (o un agente di codificazione autonomu) face una dumanda simile à un strumentu di IA, riceve a listessa raccomandazione allucinata, è esegue stallà.
- Esecutà. U ganciu d'installazione di u pacchettu si attiva, esfiltràndu sicreti, aprendu una shell inversa, o piantendu una backdoor, è u compromessu scorre à valle in e compilazioni è a pruduzzione.
L'agenti di codificazione autonomi rendenu u passu 3 assai più prubabile. Un agente chì installa dipendenze senza revisione umana elimina l'unicu puntu di cuntrollu induve un sviluppatore puderia avè fattu una pausa è pensatu: "Ùn aghju mai intesu parlà di quellu pacchettu".
Quantu hè male, veramente?
Peghju, micca megliu. U studiu USENIX hà testatu 16 mudelli è hà sempre trovu chì guasi unu di cinque pacchetti cunsigliati ùn esiste micca, dunque questu ùn hè micca un prublema limitatu à strumenti più vechji o più debuli. È un assistente di codificazione chì travaglia solu da dati di furmazione ùn hà manera di sapè se u nome di u pacchettu chì hà appena suggeritu hè sicuru, allucinatu, o digià segnalatu cum'è malware: ùn hà micca una vista in tempu reale di u registru. Questa ùn hè micca una curiosità di laburatoriu. Hè u cumpurtamentu esattu chì i sviluppatori si basanu avà decine di volte à ghjornu.
U slopsquatting si sviluppa ancu cù u crollu più largu di l'igiene di a catena di furnimentu. In u 2025, e campagne di pacchetti maliziosi di grande vulume sò diventate u mudellu operativu di basa per l'attacchi di a catena di furnimentu, cum'è documenta Xygeni's New AppSec Attack Trends for 2026: l'attaccanti pubblicanu à grande vulume, accettanu takedown rapidi è si basanu nantu à a probabilità, è l'allucinazioni di l'IA li furniscenu una pruvista costante di nomi à alta cunversione da registrà.
Cumu difendesi contr'à u slopsquatting
A verità scomoda hè chì l'arnesi basati nantu à a firma ùn ponu micca capisce questu. Un pacchettu slopsquatted hè novu di zecca; ùn esiste micca CVE, ùn esiste micca firma, è pò esse in funzione solu per ore prima di a rimozione, abbastanza longu per accumulà migliaia d'installazioni. Una difesa efficace si basa nantu à quattru pratiche:
- Ùn installate mai un pacchettu suggeritu da una IA senza verificà ch'ellu esista è sia legittimu. Verificate a vera storia di scaricamentu, u mantenitore è u repositoriu, micca solu chì u nome sona bè.
- Detecta i malware per cumpurtamentu, micca per firme. Puntuà un pacchettu à u mumentu di a publicazione nantu à e so azzioni in tempu d'installazione, e chjamate di rete è mudelli d'offuscazione, dunque un pacchettu maliziosu hè segnalatu in u mumentu chì appare piuttostu chè dopu chì hè digià cunnisciutu.
- Pone un firewall di dipendenze trà i sviluppatori è u registru. Mettite in quarantena automaticamente i pacchetti suspettosi o novi di zecca prima ch'elli ghjunghjenu à una compilazione, invece di fidà si di u registru publicu per difettu.
- Inventariu di ciò chì l'IA hè in esecuzione in u vostru pipeline. L'assistenti di codificazione è l'agenti autonomi chì installanu dipendenze facenu parte di a vostra superficia d'attaccu. Un Lista di Materiali di l'IA (AI-BOM) rende què visibile.
U slopsquatting hè un sintumu di un cambiamentu più grande
U slopsquatting hè l'esempiu u più chjaru di un mudellu più largu: l'IA hè avà sia a cosa chì scrive u vostru codice sia a cosa chì l'attaccanti indicanu in a vostra catena di furnimentu. Difende si contr'à ella in isolamentu ùn hè micca abbastanza; appartene à una strategia più larga. Per un quadru cumpletu, vedi a nostra guida à Sicurezza di a catena di furnimentu di l'IA, chì copre i pacchetti maliziosi, Rischi MCP, è u codice generatu da l'IA accantu à e difese chì li affrontanu.
Smetti di fà slopsquatting prima ch'ellu ghjunghji à a to custruzzione
U locu u più efficace per fermà un pacchettu slopsquatted hè u mumentu chì un sviluppatore prova à installallu, prima chì u script d'installazione sia eseguitu. Eccu ciò chì Scudo Xygeni face. Shield hè un agente ligeru nantu à u puntu finale di u sviluppatore chì blocca i pacchetti maliziosi à u mumentu di l'installazione, aduprendu Avvisu Precoce di Malware (MEW) verdetti chì funzionanu prima chì esista una firma. Quandu un assistente IA suggerisce una dipendenza allucinata è u sviluppatore esegue stallà, Shield valuta u pacchettu mentre hè recuperatu è u blocca: u script post-installazione maliziosu ùn hè mai eseguitu, è a squadra di sicurezza vede u tentativu cù u cuntestu cumpletu.
Siccomu MEW valuta u cumpurtamentu di un pacchettu in u mumentu di a so publicazione (azzioni in tempu d'installazione, chjamate di rete, mudelli d'offuscazione), Shield rileva esattamente i pacchetti novi, senza firma, da i quali dipende u slopsquatting, inseme cù u typosquatting, a cunfusione di dipendenze è a compromissione di u mantenitore. Ogni bloccu scorre in a stessa cunsola Xygeni cum'è u vostru codice, a compilazione è i risultati di runtime, dunque ùn ci hè micca novu. dashboard è nisuna nova relazione cù u fornitore, è Shield funziona accantu à u vostru EDR esistente, micca contr'à ellu.
Cuminciate gratuitamente. U pianu di sviluppatore di Xygeni hè 0 €: 10 repositori, 200 scansioni à u mese, finu à 5 cuntributori, senza carta di creditu. Sign up with GitHub, GitLab, o Google è eseguite a vostra prima scansione in menu di 10 minuti; A prutezzione di l'endpoint Shield ghjunghjerà prestu à u pianu Developer.
FAQ
U slopsquatting hè una vera minaccia o solu teorica?
Hè vera. Una prova di cuncettu di u 2023 da u ricercatore Bar Lanyado hà vistu un pacchettu di segnapostu sottu un nome allucinatu (huggingface-cli) telecaricatu più di 30 000 volte in trè mesi. Un studiu USENIX Security 2025 hà scupertu chì u 19.7% di i pacchetti cunsigliati da l'IA ùn esistenu micca, è u 43% di questi nomi allucinati si ripetenu in tutti i prompt, ciò chì significa chì l'attaccanti ponu predisceli è registralli.
Chì ghjè a differenza trà slopsquatting è typosquatting ?
U typosquatting sfrutta l'errori di battitura umani registrendu l'ortografia di pacchetti populari (richieste di dumande). Slopsquatting sfrutta l'allucinazioni di l'IA registrendu i nomi di pacchetti sicuri ma sbagliati chì i grandi mudelli linguistici inventanu. Tramindui anu cum'è scopu di ingannà un sviluppatore per fà installà un pacchettu maliziosu, ma l'errore ch'elli utilizanu cum'è arma hè diversu.
Possu fidà mi di l'assistenti di codificazione AI per suggerisce dipendenze?
Micca senza verificazione. Ancu i principali mudelli cummerciali allucinanu pacchetti chì ùn esistenu micca circa u 5% di u tempu, è analisi più recenti anu trovu chì guasi u 28% di i suggerimenti di aghjurnamentu di dipendenze da un mudellu attuale eranu allucinati. Cunfirmate sempre chì un pacchettu suggeritu esiste veramente è hè legittimu prima di installallu.
Cumu possu prutege a mo basa di codice da u slopsquatting?
Verificate i pacchetti suggeriti da l'IA prima di l'installazione, rilevate i malware per cumpurtamentu à u mumentu di a publicazione invece di aspittà una firma, mette un firewall di dipendenza trà i sviluppatori è i registri publichi, è mantene un inventariu AI-BOM di l'arnesi è di l'agenti IA in esecuzione in u vostru. pipeline.




