Co je to dřepání na nohou? Je to útok ve kterém škodliví aktéři zaregistrují přesné názvy balíčků, které si asistenti kódování s umělou inteligencí představují, poté tyto balíčky nahrají malwarem a čekají, až je vývojář nainstaluje. Nejedná se o okrajový případ. Ve výzkumu prezentovaném na Zabezpečení USENIX 2025, 19.7 % balíčků doporučených modely kódování umělé inteligence napříč 576 000 vzorky kódu neexistovalo a vědci zaznamenali v testovaných modelech přes 205 000 unikátních halucinovaných jmen.
Pochopení toho, co je slopsquatting (a jak jeho význam v praxi vypadá), je důležité, protože se nejedná jen o zvláštnost umělé inteligence. Slopsquatting je nástupcem éry umělé inteligence. překlepy, s jedním zásadním rozdílem: typosquatting závisí na lidské chybě v překlepu, zatímco slopsquatting závisí na chybě modelu, která se opakuje dostatečně předvídatelně, aby ji útočník mohl zneužít ve velkém měřítku. Tato příručka vysvětluje, co je slopsquatting, proč se šíří rychleji, než ho dokáže odhalit kontrola balíčků, jaká rizika vytváří a jak ho organizace mohou odhalit a předcházet mu dříve, než se dostane do produkčního prostředí.
Význam slopsquattingu: Definice #
Formální význam slova „slopsquatting“: praxe registrace názvu balíčku, který si velký jazykový model představuje, vymyšleného názvu, který zní věrohodně, ale neexistuje v žádném veřejném registru, a jeho nahrání škodlivým kódem. než jej skutečný vývojář nainstaluje na základě návrhu umělé inteligence.
Tento termín rozšiřuje koncept typosquattingu (registrace názvu balíčku, který napodobuje skutečný název, pomocí běžného pravopisného překlepu) na specifický způsob selhání generativní umělé inteligence. Zatímco typosquatting zneužívá lidského překlepu, slopsquatting zneužívá Halucinace modelu umělé inteligencenAsistent programování doporučuje pip install nebo npm install pro balíček, který nikdy neexistoval, a útočník, který si všiml stejného vymyšleného názvu opakujícího se v promptech, jej zaregistruje jako první.
V praxi to znamená, že útok na dodavatelský řetězec promění chybu modelu ve funkční exploit, aniž by byla nutná lidská chyba kromě důvěry v návrh umělé inteligence. Není to teoretické. Jeden halucinovaný balíček, nasazený jako neškodný test v roce 2023, si během tří měsíců s nulovou propagací stáhl přes 30 000 lidí a potvrdil, že škodlivé varianty zneužívající přesně tento vzorec jsou dnes veřejně dostupné.
Slopsquatting vs. Typosquatting: Jaký je rozdíl? #
Slopsquatting a typosquatting mají stejný výsledek (vývojář nainstaluje škodlivý balíček v domnění, že je legitimní), ale zdroj chyby je kategoricky odlišný.
Typosquatting závisí na lidské chybě při psaní: vývojář chce napsat požadavek a místo toho napíše „requests“ (požadavky), zatímco útočník, který si zaregistroval toto chybně napsané jméno, čeká. Riziko je spojeno s jedním stisknutím klávesy vývojáře, jedním okamžikem nepozornosti.
Slopsquatting zcela odstraňuje lidskou chybu a nahrazuje ji chybou modelu, která se ve velkém měřítku opakuje u každého vývojáře, který obdrží podobnou výzvu. Následná analýza zjistila, že když vědci spustili identickou výzvu desetkrát, 43 % halucinovaných názvů balíčků se objevilo při každém spuštění a 58 % se opakovalo vícekrát. Tato opakovatelnost je to, co dělá slopsquatting zneužitelným: útočník nemusí hádat překlep. Stačí mu sledovat, který halucinovaný název model opakuje, a zaregistrovat ho dříve, než to udělá skutečný vývojář.
Největší rozdíl je v rozsahu. Balíček s překlepem čeká na překlep. Balíček s překlepem čeká na to, až se stejné doporučení vygenerované umělou inteligencí dostane k dalšímu vývojáři, k tomu následujícímu a k tomu následujícímu, a to napříč všemi organizacemi používajícími stejný model.
Proč se dřepy šíří? #
Slopsquatting se šíří ze stejného důvodu, proč se typosquatting vždy šířil: útočníci zneužívají předvídatelný vzorec, kterému vývojáři standardně důvěřují. Novinkou je škála důvěry.
Vzestup kódování s podporou umělé inteligence, autonomní agenti a pracovní postupy „vibe codingu“, kde vývojáři před spuštěním kontrolují stále méně kódu, posunuly povrch softwarových útoků dvěma konkrétními způsoby:
Vstupním bodem už není jen vývojář. Typosquatting závisí na překlepu jedné osoby. Typosquatting může vzniknout uvnitř samotného modelu a šířit se ke stovkám různých vývojářů, kteří kladou podobné otázky a dostávají stejné halucinované doporučení, čímž se znásobí dosah jediného útoku.
Útočný povrch se posunul výše v řetězci. Už nestačí kontrolovat kód, který píše člověk. Týmy musí také sledovat závislosti, které navrhuje asistent umělé inteligence, servery MCP, ke kterým se připojuje, a agenty, kteří instalují balíčky autonomně bez přímé lidské kontroly. Tradiční AppSec, vytvořený pro kontrolu repozitářů a lidských zdrojů. commits, nebyl nikdy navržen tak, aby sledoval tuto novou interakci mezi vývojářem, umělou inteligencí a registrem balíčků, což je přesně to, kde se skrývá nedbalost.
Rizika dřepů #
Nedbalé chování vytváří riziko napříč různými aspekty, které se vzájemně prolínají, a tento trend se spíše zrychluje, než aby ustal.
- Opakovatelné zneužívání. Protože halucinovaná jména nejsou náhodná, stejné falešné jméno se předvídatelně objevuje napříč relacemi a modely. Útočníci nemusí hádat; stačí jim pozorovat chování modelu a zaregistrovat jména, která se neustále opakují, čímž se jednorázová halucinace promění v škálovatelný a opakovatelný útok.
- Šíření agentů. Nedbalost se již neomezuje jen na kopírování navrhovaného instalačního příkazu vývojářem. V lednu 2026 vědci zjistili, že programátoři s umělou inteligencí již rozšířili instrukce odkazující na halucinovaný npm balíček napříč 237 repozitáři a agenti se ho stále denně pokoušeli nainstalovat, aniž by byl v procesu zachycen žádný člověk.
- Vyhýbání se podobnosti jmen. Zhruba 38 % halucinogénních názvů se velmi podobá skutečným balíčkům, což snižuje pravděpodobnost, že vývojář záměnu na první pohled odhalí. Škodlivý balíček, který se nachází jeden znak od důvěryhodné závislosti, nevypadá podezřele; vypadá to jako překlep, kterého byste se sami dopustili.
- Přetrvávající expozice po detekci. Halucinogénní balíček, který nahradil legitimní plugin ESLint, stále zaznamenával týdenní stahování, a to i poté, co jej registr pozastavil, což dokazuje, že označení zkorumpovaného balíčku okamžitě nezabrání jeho instalaci.
Kde se skrývá nedbalý dřep #
Nejtěžší na odhalení slopsquattingu je to, že v okamžiku, kdy k němu dojde, nevypadá jako útok; vypadá to jako normální instalace PIP nebo NPM, která se úspěšně dokončí, protože balíček skutečně existuje, jakmile ho útočník zaregistruje.
Slopsquatting obvykle probíhá přes:
- Asistenti a kopiloti kódování s umělou inteligencí. Původ zranitelnosti spočívá v původním návrhu – vymyšleném názvu balíčku prezentovaném vedle legitimního, funkčního kódu. Nic na okolním kódu nevypadá špatně, protože obvykle není; falešná je pouze závislost.
- Autonomní kódovací agenti. Agentní pracovní postupy, které instalují závislosti bez lidské kontroly, odstraňují jeden kontrolní bod, kdy se vývojář pozastaví, aby ověřil jméno, což by jinak zachytilo pochybný balíček dříve, než se dostane do projektu.
- Správci balíčků bez ověřovacího kroku. Ani pip install, ani npm install nevyvolá chybu, pokud cílový balíček existuje a je škodlivý. Instalace se dokončí normálně, protože z pohledu správce balíčků není nic špatně.
Jak odhalit a předcházet dřepům #
Prevence nedbalostního chování nevyžaduje žádné exotické nástroje. Vyžaduje systematické uplatňování již existujících postupů hygieny závislostí, spíše než jejich uvolňování v okamžiku, kdy umělá inteligence kód „navrhne“.
Před instalací jakéhokoli nového balíčku jej ověřte., zejména takový, který navrhl asistent umělé inteligence. Ověřte, zda existuje v oficiálním registru, kdo jej spravuje, kdy byl publikován a zda počet jeho stažení vypadá věrohodně.
Nikdy nepředpokládejte, že kód generovaný umělou inteligencí je ve výchozím nastavení bezpečnýKód, který „funguje“, neznamená, že jeho závislosti jsou legitimní. Kontrola závislostí by měla být součástí kontroly kódu, nikoli výjimkou.
Nasaďte skenování závislostí, které signalizuje rizikové vzorce nad rámec známých CVE: anomální balíčky, názvy podezřele podobné stávajícím, nové správce bez historie nebo instalaci skriptů s neobvyklým chováním.
Použijte AI-SPM jako vrstvu správy a řízení. Správa bezpečnostních podmínek AI je postup navržený tak, aby ve velkém měřítku zachytil přesně tento druh rizik zavedených AI, a to průběžným objevováním závislostí navržených AI a jejich hodnocením dříve, než si člověk vzpomene na ruční kontrolu.
Zajištění proti dřepům s Xygeni #
Nedbalostem nelze zabránit pouze bdělostí vývojářů. Zásada, která říká „ověřte každý balíček navržený umělou inteligencí“, se nerozšíří v celé organizaci, kde návrhy závislostí přicházejí rychleji, než jakýkoli proces lidské kontroly zvládne.
Xygeni's přístup s tím zachází jako s problémem kontinuální detekce: inventář umělé inteligence a Kusovník s umělou inteligencí povrch každých zavedených umělou inteligencí závislost napříč SDLC, což týmům poskytuje živý záznam o tom, co asistent umělé inteligence skutečně navrhl a nainstaloval. Xygeni Shield, poháněný technologií MEW (Včasné varování před malwarem), detekuje a blokuje škodlivé balíčky, včetně těch „slopsquatted“, ještě před existencí signatury, a tím uzavírá přesně tu mezeru, kterou skenery založené na signaturách nechávají otevřenou.
Pokud vaše týmy používají asistenty kódování s umělou inteligencí, problém s nedbalostí je již přítomen. Otázkou je, zda se další halucinované jméno odhalí dříve, než se nainstaluje.

Nejčastější dotazy #
Slopsquatting je útok v rámci dodavatelského řetězce, při kterém škodliví aktéři zaregistrují přesné neexistující názvy balíčků, které asistenti kódování s umělou inteligencí opakovaně halucinují, a nahrají je malwarem, než vývojář na základě návrhu umělé inteligence nějaký nainstaluje.
Útočníci pozorují, které názvy balíčků modely umělé inteligence opakovaně halucinují, a poté tyto přesné názvy zaregistrují se škodlivým kódem dříve, než to udělá skutečný vývojář. Protože se halucinovaný název předvídatelně opakuje v různých výzvách a relacích, může se jeden registrovaný nedbalý balíček dostat ke každému vývojáři, který obdrží podobný návrh umělé inteligence, čímž se jedna zvláštnost modelu promění v škálovatelný útok napříč celou uživatelskou základnou.
Efektivní detekce znamená zacházet se závislostmi navrženými umělou inteligencí jako se samostatnou kategorií rizika, nikoli s podmnožinou běžných závislostí open-source. To vyžaduje přehled o tom, co asistenti a agenti programování s umělou inteligencí skutečně navrhují a instalují, a to porovnání s daty v registru (datum publikace, historie správce, vzorce stahování) a detekcí malwaru na základě chování, spíše než spoléhání se pouze na skenování založené na signaturách.