Mitä on slopsquatting? Se on hyökkäys jossa haitalliset toimijat rekisteröivät tarkat pakettien nimet, joista tekoälyn koodausavustajat hallusinoivat, lataavat sitten kyseiset paketit haittaohjelmilla ja odottavat kehittäjän asentavan ne. Kyseessä ei ole reunatapaus. Tutkimuksessa, joka esiteltiin osoitteessa USENIX-tietoturva 2025, Tekoälykoodausmallien 576 000 koodinäytteessä suosittelemista paketeista 19.7 % ei ollut olemassa, ja tutkijat kirjasivat yli 205 000 ainutlaatuista hallusinoitua nimeä testatuissa malleissa.
Sen ymmärtäminen, mitä slopsquatting on (ja miltä slopsquattingin merkitys käytännössä näyttää), on tärkeää, koska se ei ole vain tekoälyn omituisuus. Slopsquatting on tekoälyaikakauden seuraaja typosquatting, yhdellä kriittisellä erolla: kirjoitusvirhe (slopsquatting) riippuu ihmisen kirjoitusvirheestä, kun taas slopsquatting perustuu mallin virheeseen, jota toistetaan riittävän ennustettavasti, jotta hyökkääjä voi hyödyntää sitä laajamittaisesti. Tämä opas selittää, mitä slopsquatting on, miksi se leviää nopeammin kuin pakettien tarkistus voi havaita, mitä riskejä se aiheuttaa ja miten organisaatiot voivat havaita ja estää sen ennen kuin se pääsee tuotantoon.
Slopsquattingin merkitys: Määritelmä #
Slopsquatting tarkoittaa muodollisesti käytäntöä, jossa rekisteröidään paketin nimi, jonka suuri kielimalli hallusinoi, keksitty nimi, joka kuulostaa uskottavalta, mutta jota ei ole missään julkisessa rekisterissä, ja ladataan se haitallisella koodilla. ennen kuin oikea kehittäjä asentaa sen tekoälyn ehdotuksen perusteella.
Termi laajentaa typosquattingin (todellisen paketin nimen rekisteröiminen yleisen kirjoitusvirheen avulla) käsitteen generatiivisen tekoälyn erityiseen vikatilaan. Kun typosquatting hyödyntää ihmisen kirjoitusvirhettä, slopsquatting hyödyntää Tekoälymallin hallusinaatiotn: koodausavustaja suosittelee pip install- tai npm install -komentoa paketille, jota ei ole koskaan ollut olemassa, ja hyökkääjä, joka on huomannut saman keksityn nimen toistuvan eri kehotteissa, rekisteröi sen ensin.
Käytännössä slopsquatting tarkoittaa tätä: toimitusketjuhyökkäystä, joka muuttaa mallin virheen toimivaksi hyökkäykseksi ilman inhimillistä virhettä tekoälyn ehdotukseen luottamisen lisäksi. Se ei ole teoreettinen. Yksi hallusinoitu paketti, joka asennettiin hyvänlaatuiseksi testiksi vuonna 2023, sai yli 30 000 latausta kolmessa kuukaudessa ilman minkäänlaista mainostusta ja vahvisti, että tätä täsmälleen samaa kaavaa hyödyntävät haitalliset variantit ovat jo julkisissa rekistereissä.
Slopsquatting vs. Typosquatting: Mitä eroa on? #
Slopsquattingilla ja typosquattingilla on sama lopputulos (kehittäjä asentaa haitallisen paketin uskoen sen olevan laillinen), mutta virheen lähde on kategorisesti erilainen.
Kirjoitusvirheet johtuvat ihmisen tekemistä kirjoitusvirheistä: kehittäjä aikoo kirjoittaa pyyntöjä ja kirjoittaakin sen sijaan "requests", ja hyökkääjä, joka rekisteröi väärin kirjoitetun nimen, odottaa. Riski on sidottu yhteen kehittäjän näppäinpainallukseen, yhteen hetken tarkkaamattomuuden hetkeen.
Slopsquatting poistaa inhimillisen virheen kokonaan ja korvaa sen mallin virheellä, joka toistuu skaalautuvasti jokaisella kehittäjällä, joka saa samanlaisen kehotteen. Seuranta-analyysissä havaittiin, että kun tutkijat suorittivat identtiset kehotteet uudelleen kymmenen kertaa, 43 % hallusinoituneista pakettien nimistä ilmestyi jokaisella ajokerralla ja 58 % toistui useammin kuin kerran. Tämä toistettavuus tekee slopsquattingista hyödynnettävän: hyökkääjän ei tarvitse arvata kirjoitusvirhettä. Heidän tarvitsee vain tarkkailla, mitä hallusinoitua nimeä malli toistaa, ja rekisteröidä se ennen kuin oikea kehittäjä tekee sen.
Suurin ero on mittakaavassa. Kirjoitusvirheen kanssa virheellinen paketti odottaa kirjoitusvirhettä. Virheellinen paketti odottaa, että sama tekoälyn luoma suositus saavuttaa seuraavan kehittäjän ja sitä seuraavan, ja sitä seuraavan, kaikissa samaa mallia käyttävissä organisaatioissa.
Miksi kannattaa käyttää slopsquatting-levityksiä? #
Slopsquatting yleistyy samasta syystä kuin typosquatting aina ennenkin: hyökkääjät hyödyntävät ennustettavaa kaavaa, johon kehittäjät luottavat oletuksena. Uutta on luottamuksen laajuus.
Tekoälyavusteisen koodauksen nousu, autonomiset agentit ja ”tunnelmakoodauksen” työnkulut, joissa kehittäjät tarkistavat yhä vähemmän koodia ennen sen suorittamista, ovat muuttaneet ohjelmistohyökkäysten pintaa kahdella konkreettisella tavalla:
Aloituskohta ei ole enää vain kehittäjä. Typosquatting-hyökkäys perustuu yhden henkilön kirjoitusvirheeseen. Slopsquatting voi saada alkunsa itse mallista ja levitä sadoille eri kehittäjille, jotka esittävät samanlaisia kysymyksiä ja saavat saman hallusinoidun suosituksen, moninkertaistaen yhden hyökkäyksen ulottuvuuden.
Hyökkäyspinta on siirtynyt ketjussa ylemmäs. Ihmisen kirjoittaman koodin tarkastelu ei enää riitä. Tiimien on myös tarkkailtava tekoälyavustajaa ehdottamia riippuvuuksia, MCP-palvelimia, joihin se muodostaa yhteyden, ja agentteja, jotka asentavat paketteja itsenäisesti ilman suoraa ihmisen tarkistusta. Perinteinen AppSec, joka on rakennettu tarkistamaan tietovarastoja ja ihmisen suorittamaa tarkistusta. commits:ää ei koskaan suunniteltu tarkkailemaan tätä uutta vuorovaikutusta kehittäjän, tekoälyn ja pakettirekisterin välillä, ja juuri siinä huolimattomuus piilee.
Slopsquatting-riskit #
Slopsquatting luo riskejä toisiinsa liittyvien ulottuvuuksien välillä, ja trendi kiihtyy pikemminkin kuin hiipuu.
- Toistuva hyväksikäyttö. Koska hallusinaatioiden nimet eivät ole satunnaisia, sama väärennetty nimi ilmestyy ennustettavasti esiin eri istunnoissa ja malleissa. Hyökkääjien ei tarvitse arvailla; heidän tarvitsee vain tarkkailla mallin käyttäytymistä ja rekisteröidä toistuvat nimet, jolloin kertaluonteinen hallusinaatio muuttuu skaalautuvaksi ja toistettavaksi hyökkäykseksi.
- Agenttinen lisääntyminen. Asennuskomennon kopiointi ja liittäminen ei enää rajoitu kehittäjän toimesta tehtyyn asennuskomennon liittämiseen. Tammikuussa 2026 tutkijat havaitsivat, että tekoälykoodaajat olivat jo levittäneet hallucinated npm -pakettiin viittaavia ohjeita 237 arkistoon, ja agentit yrittivät edelleen asentaa sitä päivittäin, eikä kukaan ihminen huomannut virhettä.
- Nimen samankaltaisuuden välttely. Noin 38 % hallusinoituneista nimistä muistuttaa läheisesti oikeita paketteja, mikä pienentää todennäköisyyttä, että kehittäjä huomaa korvauksen yhdellä silmäyksellä. Haitallinen paketti, joka sijaitsee yhden merkin päässä luotettavasta riippuvuudesta, ei näytä epäilyttävältä; se näyttää kirjoitusvirheeltä, jonka tekisit itse.
- Jatkuva altistuminen havaitsemisen jälkeen. Hallucinated-paketti, joka korvasi laillisen ESLint-laajennuksen, tallensi edelleen viikoittaisia latauksia, vaikka rekisteri asetti sen turvallisuuspitoon. Tämä osoittaa, että viallisen paketin merkitseminen ei estä sen asentamista välittömästi.
Missä Slopsquatting piiloutuu #
Vaikein osa slopsquattingin havaitsemisessa on se, että se ei näytä hyökkäykseltä sillä hetkellä, kun se tapahtuu; se näyttää tavalliselta pip- tai npm-asennukselta, joka onnistuu, koska paketti on aidosti olemassa, kun hyökkääjä on rekisteröinyt sen.
Slopsquatting tapahtuu tyypillisesti seuraavien kautta:
- Tekoälykoodauksen avustajat ja apupilotit. Alkuperäinen ehdotus, keksitty paketin nimi yhdessä laillisen, toimivan koodin kanssa, on haavoittuvuuden alkuperä. Ympäröivässä koodissa ei näytä olevan mitään väärää, koska se ei yleensä olekaan; vain riippuvuus on tekaistu.
- Autonomiset koodausagentit. Agenttien työnkulut, jotka asentavat riippuvuuksia ilman ihmisen tarkistusta, poistavat yhden tarkistuspisteen – kehittäjän pysähtymisen nimen varmentamiseksi – joka muuten havaitsisi hallusinoituneen paketin ennen kuin se ehtii projektiin.
- Pakettien hallintaohjelmat ilman vahvistusvaihetta. Pip install tai npm install eivät kumpikaan heitä virhettä, jos kohdepaketti on olemassa ja haitallinen. Asennus suoritetaan normaalisti, koska paketinhallintaohjelman näkökulmasta mikään ei ole vialla.
Kuinka havaita ja estää slopsquatting #
Koodivirheiden estäminen ei vaadi erikoisia työkaluja. Se edellyttää jo olemassa olevien riippuvuushygieniakäytäntöjen systemaattista soveltamista sen sijaan, että niitä höllennettäisiin heti, kun tekoäly "ehdottaa" koodia.
Tarkista kaikki uudet paketit ennen niiden asentamista, erityisesti tekoälyavustajaa ehdottaman tiedoston. Varmista, että se on virallisessa rekisterissä, kuka sitä ylläpitää, milloin se julkaistiin ja näyttävätkö sen latausmäärät aidoilta.
Älä koskaan oleta tekoälyn luoman koodin olevan oletuksena turvallistaSe, että koodi "toimii", ei tarkoita, että sen riippuvuudet ovat oikeita. Riippuvuuskatselmoinnin tulisi olla osa koodikatselmointia, ei poikkeus siitä.
Ota käyttöön riippuvuusskannaus, joka merkitsee riskikuvioita tunnettujen CVE-haavoittuvuuksien lisäksi: poikkeavat paketit, olemassa olevien kanssa epäilyttävästi samankaltaiset nimet, uudet ylläpitäjät, joilla ei ole kokemusta, tai epätavallisesti toimivat asennusskriptit.
Käytä tekoälyä (AI-SPM) hallintokerroksena. Tekoälyn tietoturvatilan hallinta on käytäntö, joka on suunniteltu havaitsemaan juuri tällaiset tekoälyn aiheuttamat riskit laajamittaisesti. Se etsii jatkuvasti tekoälyn ehdottamia riippuvuuksia ja pisteyttää ne ennen kuin ihmisen tarvitsee muistaa tarkistaa niitä manuaalisesti.
Suojautuminen slopsquattingin estämiseksi Xygenin avulla #
Kehittäjien valppaus yksinään ei voi estää löysää käyttöönottoa. Käytäntö, jonka mukaan "tarkista jokainen tekoälyn ehdottama paketti", ei skaalaudu organisaatioon, jossa riippuvuusehdotukset saapuvat nopeammin kuin mikään ihmisen suorittama tarkistusprosessi pystyy pysymään perässä.
Xygenin lähestymistapa käsittelee tätä jatkuvana havaitsemisongelmana: tekoälyn inventaario ja Tekoälyosio pinta jokainen tekoälyn käyttöönottama riippuvuus kaikkialla SDLC, joka antaa tiimeille reaaliaikaisen tallenteen siitä, mitä tekoälyavustaja on todellisuudessa ehdottanut ja asentanut. Xygeni Shield, powered by MEW (haittaohjelmien ennakkovaroitus), tunnistaa ja estää haitalliset paketit, mukaan lukien slopsquatting-paketit, ennen kuin niissä on allekirjoitusta, mikä paikaa täsmälleen sen aukon, jonka allekirjoituspohjaiset skannerit jättävät auki.
Jos tiimisi käyttävät tekoälypohjaisia koodausavustajia, slopsquatting-ongelma on jo olemassa. Kysymys kuuluu, jääkö seuraava hallusinoitu nimi kiinni ennen kuin se asentuu.

FAQ #
Slopsquatting on toimitusketjuhyökkäys, jossa pahantahtoiset toimijat rekisteröivät tekoälyn koodausavustajien toistuvasti hallusinoimia olemattomia pakettien nimiä ja lataavat ne haittaohjelmilla ennen kuin kehittäjä asentaa sellaisen tekoälyn ehdotuksen perusteella.
Hyökkääjät tarkkailevat, mitkä tekoälymallien pakettien nimet hallusinoivat toistuvasti, ja rekisteröivät sitten kyseiset nimet haitallisella koodilla ennen kuin oikea kehittäjä tekee niin. Koska hallusinoitunut nimi toistuu ennustettavasti kehotteissa ja istunnoissa, yksi rekisteröity, slopsquatted-paketti voi tavoittaa jokaisen kehittäjän, joka saa samanlaisen tekoälyehdotuksen, jolloin yhdestä mallin erikoisuudesta voi tulla skaalautuva hyökkäys koko käyttäjäkuntaan.
Tehokas havaitseminen tarkoittaa tekoälyn ehdottamien riippuvuuksien käsittelyä erillisenä riskikategoriana, ei tavallisten avoimen lähdekoodin riippuvuuksien osajoukkona. Tämä edellyttää näkyvyyttä siihen, mitä tekoälyn koodausavustajat ja -agentit todellisuudessa ehdottavat ja asentavat, vertaamalla tätä rekisteritietoihin (julkaisupäivämäärä, ylläpitäjän historia, latausmallit) ja käyttäytymiseen perustuvaan haittaohjelmien tunnistukseen sen sijaan, että turvauduttaisiin pelkästään allekirjoituspohjaiseen skannaukseen.