Chì ghjè u slopsquatting? Hè un attaccu in quale l'attori maliziosi registranu i nomi esatti di i pacchetti chì l'assistenti di codificazione AI allucinanu, poi caricanu questi pacchetti cù malware è aspettanu chì un sviluppatore li installi. Ùn hè micca un casu limite. In a ricerca presentata à Sicurezza USENIX 2025, 19.7% di i pacchetti raccomandati da i mudelli di codificazione AI in 576 000 esempi di codice ùn esistevanu micca, è i circadori anu registratu più di 205 000 nomi allucinati unichi in i mudelli testati.
Capisce ciò chì hè u slopsquatting (è ciò chì significa slopsquatting in pratica) hè impurtante perchè ùn hè micca solu una peculiarità di l'IA. U slopsquatting hè u successore di l'era di l'IA à typosquatting, cù una differenza critica: u typosquatting dipende da l'errore di scrittura di un umanu, mentre chì u slopsquatting dipende da l'errore di un mudellu, ripetutu abbastanza prevedibilmente per chì un attaccante u sfrutti à grande scala. Sta guida spiega ciò chì hè u slopsquatting, perchè si sparghje più veloce di ciò chì a revisione di i pacchetti pò catturà, quali risichi crea è cumu l'urganisazioni ponu scopre è impedisce prima ch'ellu ghjunghje à a pruduzzione.
Significatu di Slossquatting: Definizione #
Slopsquatting significa, formalmente: a pratica di registrà un nome di pacchettu chì un grande mudellu di lingua allucina, un nome inventatu chì sona plausibile ma ùn esiste micca in alcun registru publicu, è caricallu cù codice maliziosu. prima ch'ellu sia installatu da un veru sviluppatore basatu annantu à a suggerimentu di l'IA.
U termine stende u cuncettu di typosquatting (registrà un nome di pacchettu chì imita unu reale per via di un errore ortograficu cumunu) à u modu di fallimentu specificu di l'IA generativa. Induve u typosquatting sfrutta un errore di battitura umanu, u slopsquatting sfrutta un Allucinazioni di u mudellu di IAnUn assistente di codificazione ricumanda pip install o npm install per un pacchettu chì ùn hè mai esistitu, è un attaccante chì hà nutatu u listessu nome inventatu chì si ripete in tutti i prompt u registra prima.
U significatu di slopsquatting, in termini pratichi, hè questu: un attaccu di a catena di furnimentu chì trasforma l'errore di un mudellu in un exploit funzionale, senza bisognu di errore umanu al di là di fidà si di a suggerimentu di l'IA. Ùn hè micca teoricu. Un unicu pacchettu allucinatu, piantatu cum'è una prova benigna in u 2023, hà attiratu più di 30,000 scaricamenti in trè mesi senza alcuna prumuzione è hà cunfirmatu chì e varianti maliziose chì sfruttanu questu schema esattu sò oghje dispunibili in i registri publichi.
Slopsquatting vs Typosquatting: Chì ghjè a differenza? #
U slopsquatting è u typosquatting spartenu u listessu risultatu (un sviluppatore installa un pacchettu maliziosu credendu ch'ellu sia legittimu), ma a fonte di l'errore hè categoricamente diversa.
U typosquatting dipende da un errore di scrittura umanu: un sviluppatore vole scrive e richieste è scrive invece richieste, è un attaccante chì hà registratu quellu nome scrittu male aspetta. U risicu hè ligatu à a pressione di un tastu da parte di un sviluppatore, un mumentu di disattenzione.
U slopsquatting elimina cumpletamente l'errore umanu è u rimpiazza cù un errore di mudellu, chì si ripete à scala per ogni sviluppatore chì riceve un prompt simile. L'analisi di seguitu hà trovu chì quandu i circadori anu eseguitu prompt identichi dece volte ognunu, u 43% di i nomi di pacchetti allucinati sò apparsi in ogni esecuzione, è u 58% si sò ripresentati più di una volta. Questa ripetibilità hè ciò chì rende u slopsquatting sfruttabile: un attaccante ùn hà micca bisognu di indovinà un errore di battitura. Basta à osservà quale nome allucinatu un mudellu cuntinua à ripete è registrallu prima chì un veru sviluppatore u faci.
A più grande differenza hè a scala. Un pacchettu typosquattatu aspetta un accidente di scrittura. Un pacchettu slopsquattatu aspetta chì a stessa raccomandazione generata da l'IA ghjunghji à u prossimu sviluppatore, è à quellu dopu à quellu, è à quellu dopu à quellu, in ogni urganizazione chì usa u listessu mudellu.
Perchè si sparghjenu i slopsquatting? #
U slopsquatting prolifera per a listessa ragione chì u typosquatting hà sempre avutu: l'attaccanti sfruttanu un mudellu prevedibile in u quale i sviluppatori si fidanu per difettu. Ciò chì hè novu hè a scala di fiducia.
L'ascesa di a codificazione assistita da l'IA, agenti autonomi, è flussi di travagliu di "codificazione vibrante", induve i sviluppatori rivedenu sempre menu codice prima di eseguisce lu, hà cambiatu a superficia d'attaccu di u software in dui modi concreti:
U puntu d'entrata ùn hè più solu u sviluppatore. Un attaccu di typosquatting dipende da l'errore di scrittura di una persona. U slopsquatting pò nasce in u mudellu stessu è propagassi à centinaie di sviluppatori diversi chì facenu dumande simili è ricevenu a stessa raccomandazione allucinata, multiplicendu a portata di un unicu attaccu.
A superficia d'attaccu s'hè spostata più in altu in a catena. Ùn basta più à rivedere u codice scrittu da un umanu. E squadre anu ancu bisognu di surveglià e dipendenze chì un assistente IA suggerisce, i servitori MCP à i quali si cunnetta è l'agenti chì installanu i pacchetti autonomamente senza alcuna revisione umana diretta. AppSec tradiziunale, custruitu per rivedere i repositori è l'umani commits, ùn hè mai statu cuncipitu per osservà sta nova interazzione trà u sviluppatore, l'IA è u registru di pacchetti, chì hè esattamente induve si piatta u slopsquatting.
Rischi di slopsquatting #
U slopsquatting crea un risicu in diverse dimensioni chì si cumpunenu l'una à l'altra, è a tendenza s'accelera piuttostu chè svanisce.
- Sfruttamentu ripetibile. Siccomu i nomi allucinati ùn sò micca aleatorii, u listessu nome falsu riapparisce in modu prevedibile in e sessioni è i mudelli. L'attaccanti ùn anu micca bisognu d'induvinà; anu solu bisognu d'osservà u cumpurtamentu di u mudellu è di registrà i nomi chì si ripresentanu, trasformendu una allucinazione una tantum in un attaccu scalabile è ripetibile.
- Propagazione agentica. U slopsquatting ùn hè più limitatu à un sviluppatore chì copia è incolla un cumandamentu d'installazione suggeritu. In ghjennaghju 2026, i circadori anu scupertu chì l'agenti di codificazione AI avianu digià sparghje struzzioni chì facenu riferimentu à un pacchettu npm allucinatu in 237 repositori, cù l'agenti chì cercanu sempre di installallu ogni ghjornu, senza esse umanu in u ciclu per rilevà l'errore.
- Evasione di a similitudine di nomi. Circa u 38% di i nomi allucinati s'assumiglia assai à i pacchetti veri, riducendu e probabilità chì un sviluppatore individui a sustituzione à prima vista. Un pacchettu maliziosu chì si trova à un caratteru di distanza da una dipendenza affidabile ùn pare micca suspettu; pare un errore di battitura chì faresti tu stessu.
- Esposizione persistente dopu a rilevazione. Un pacchettu allucinatu chì hà rimpiazzatu un plugin ESLint legittimu stava sempre registrendu scaricamenti settimanali ancu dopu chì u registru l'hà piazzatu sottu una prutezzione di sicurezza, prova chì a segnalazione di un pacchettu slopsquatted ùn impedisce micca immediatamente a so installazione.
Induve si nasconde Slossquatting #
A parte più difficiule di u slopsquatting à catturà hè chì ùn pare micca un attaccu à u mumentu chì accade; pare una installazione pip nurmale o una installazione npm chì si cumpleta cù successu, perchè u pacchettu esiste veramente una volta chì un attaccante l'hà registratu.
U slopsquatting entra tipicamente per:
- Assistenti di codificazione è copiloti di l'IA. A suggerimentu iniziale, un nome di pacchettu inventatu prisentatu accantu à un codice legittimu è funzionale, hè induve a vulnerabilità hà origine. Nunda in u codice circundante ùn pare sbagliatu, perchè di solitu ùn l'hè micca; solu a dipendenza hè falsa.
- Agenti di codificazione autonomi. I flussi di travagliu agentichi chì installanu dipendenze senza revisione umana eliminanu l'unicu puntu di cuntrollu, un sviluppatore chì si ferma per verificà un nome, chì altrimenti catturerebbe un pacchettu allucinatu prima ch'ellu ghjunghje à un prughjettu.
- Gestori di pacchetti senza passu di verificazione. Nè pip install nè npm install ùn generanu un errore quandu u pacchettu di destinazione esiste è hè maliziosu. L'installazione si cumpleta nurmalmente perchè, da a perspettiva di u gestore di pacchetti, ùn ci hè nunda di male.
Cumu scopre è prevene u slopsquatting #
Impedisce u slopsquatting ùn richiede micca strumenti esotici. Richiede l'applicazione di pratiche d'igiene di dipendenza chì esistenu digià, sistematicamente, invece di rilassarle in u mumentu chì una IA "suggerisce" u codice.
Verificate ogni novu pacchettu prima di installallu, in particulare unu suggeritu da un assistente IA. Cunfirmate ch'ellu esiste in u registru ufficiale, quale u mantene, quandu hè statu publicatu, è s'ellu i so numeri di scaricamentu parenu autentichi.
Ùn suppone mai chì u codice generatu da l'IA sia sicuru per difettuUn codice chì "funziona" ùn significa micca chì e so dipendenze sò legittime. A revisione di e dipendenze deve fà parte di a revisione di u codice, micca una eccezione.
Implementà una scansione di dipendenze chì segnala i mudelli di risicu al di là di i CVE cunnisciuti: pacchetti anomali, nomi suspettosamente simili à quelli esistenti, novi mantenitori senza precedenti, o installa script cù un cumpurtamentu inusual.
Applicà AI-SPM cum'è u livellu di guvernanza. A Gestione di a Postura di Sicurezza di l'IA hè a pratica cuncipita per catturà esattamente stu tipu di risicu introduttu da l'IA à scala, scoprendu continuamente e dipendenze suggerite da l'IA è puntuendule prima chì un umanu abbia mai da ricurdassi di verificà manualmente.
Prutezzione contr'à u slopsquatting cù Xygeni #
U slopsquatting ùn pò esse impeditu solu da a vigilanza di i sviluppatori. Una pulitica chì dice "verificà ogni pacchettu suggeritu da l'IA" ùn si adatta micca à una urganizazione induve i suggerimenti di dipendenza ghjunghjenu più velocemente di ciò chì qualsiasi prucessu di revisione umana pò tene u passu.
Xygeni's l'approcciu tratta questu cum'è un prublema di rilevazione cuntinua: Inventariu AI è IA BOM superficia ogni IA introdutta dipendenza à traversu u SDLC, dendu à e squadre una traccia viva di ciò chì un assistente IA hà suggeritu è installatu. Xygeni Shield, alimentatu da MEW (Avvisu Precoce di Malware), rileva è blocca i pacchetti maliziosi, cumpresi quelli slopsquattati, prima chì una firma esista, chjudendu esattamente a lacuna chì i scanner basati nantu à a firma lascianu aperta.
Sè e vostre squadre utilizanu assistenti di codificazione AI, u prublema di slopsquatting hè digià presente. A quistione hè se u prossimu nome allucinatu hè catturatu prima di esse installatu.

FAQ #
Slopsquatting hè un attaccu di a catena di furnimentu induve l'attori maliziosi registranu i nomi esatti di pacchetti inesistenti chì l'assistenti di codificazione AI allucinanu ripetutamente, carichenduli di malware prima chì un sviluppatore ne installa unu basatu annantu à a suggerimentu di l'IA.
L'attaccanti osservanu quali nomi di pacchetti i mudelli di IA allucinanu ripetutamente, poi registranu quelli nomi esatti cù codice maliziosu prima chì un veru sviluppatore u faci. Siccomu u nome allucinatu si ripresenta in modu prevedibile in tutte e richieste è e sessioni, un unicu pacchettu slopsquatted registratu pò ghjunghje à ogni sviluppatore chì riceve una suggerimentu di IA simile, trasformendu una peculiarità di mudellu in un attaccu scalabile in tutta una basa d'utilizatori.
Una scuperta efficace significa trattà e dipendenze suggerite da l'IA cum'è una categuria di risicu distinta, micca un sottoinsieme di dipendenze open-source ordinarie. Questu richiede visibilità di ciò chì l'assistenti è l'agenti di codificazione IA suggerenu è installanu in realtà, incruciatu cù i dati di u registru (data di publicazione, storia di u mantenitore, mudelli di scaricamentu) è a rilevazione di malware basata nantu à u cumpurtamentu, invece di affidà si solu à a scansione basata nantu à a firma.