Što je slopsquatting? To je napad u kojem zlonamjerni akteri registriraju točna imena paketa koja asistenti umjetne inteligencije zamišljaju, zatim te pakete učitavaju sa zlonamjernim softverom i čekaju da ih programer instalira. To nije rubni slučaj. U istraživanju predstavljenom na USENIX Sigurnost 2025. 19.7% paketa koje su preporučili modeli umjetne inteligencije za kodiranje u 576 000 uzoraka koda nije postojalo, a istraživači su zabilježili preko 205 000 jedinstvenih haluciniranih imena u testiranim modelima.
Razumijevanje što je slopsquatting (i kako značenje slopsquattinga izgleda u praksi) važno je jer to nije samo hir umjetne inteligencije. Slopsquatting je nasljednik ere umjetne inteligencije tipo skvotiranje, s jednom ključnom razlikom: tiposquatting ovisi o ljudskoj pogrešci u tipkanju, dok slopsquatting ovisi o pogrešci modela, koja se ponavlja dovoljno predvidljivo da bi je napadač mogao iskoristiti u velikim razmjerima. Ovaj vodič objašnjava što je slopsquatting, zašto se širi brže nego što ga pregled paketa može otkriti, koje rizike stvara i kako ga organizacije mogu otkriti i spriječiti prije nego što dođe u produkciju.
Značenje slopsquattinga: Definicija #
Formalno značenje riječi "slopsquatting": praksa registriranja naziva paketa koji veliki jezični model halucinira, izmišljenog naziva koji zvuči uvjerljivo, ali ne postoji ni u jednom javnom registru, te njegovo punjenje zlonamjernim kodom. prije nego što ga pravi programer instalira na temelju prijedloga umjetne inteligencije.
Izraz proširuje koncept tipografskog pogreške (registriranje naziva paketa koji oponaša stvarni naziv putem uobičajene pravopisne pogreške) na specifičan način kvara generativne umjetne inteligencije. Dok tipografsko pogrješka iskorištava ljudsku tipografsku pogrešku, slopsquatting iskorištava Halucinacije AI modelanAsistent kodiranja preporučuje pip install ili npm install za paket koji nikada nije postojao, a napadač koji je primijetio isto izmišljeno ime koje se ponavlja u upitima prvi ga registrira.
Praktično značenje napada na opskrbni lanac je sljedeće: napad na opskrbni lanac koji pretvara pogrešku modela u funkcionalni iskorištavanje, bez potrebe za ljudskom pogreškom osim povjerenja u sugestiju umjetne inteligencije. To nije teoretski. Jedan halucinirani paket, postavljen kao benigni test 2023. godine, privukao je preko 30 000 preuzimanja u tri mjeseca bez ikakve promocije i potvrdio da su zlonamjerne varijante koje iskorištavaju upravo ovaj obrazac danas dostupne u javnim registrima.
Slopsquatting vs. typosquatting: Koja je razlika? #
Slopsquatting i typosquatting dijele isti ishod (razvojni programer instalira zlonamjerni paket vjerujući da je legitiman), ali izvor pogreške je kategorički drugačiji.
Tipografske pogreške ovise o ljudskoj pogrešci u tipkanju: programer namjerava upisati zahtjeve i umjesto toga upisuje zahtjeve, a napadač koji je registrirao to pogrešno napisano ime čeka. Rizik je vezan uz jedan pritisak tipke programera, jedan trenutak nepažnje.
Nemarno korištenje u potpunosti uklanja ljudsku pogrešku i zamjenjuje je pogreškom modela, onom koja se ponavlja u većem broju kod svakog programera koji primi sličan upit. Naknadna analiza otkrila je da kada su istraživači ponovno pokrenuli identične upite deset puta, 43% haluciniranih naziva paketa pojavilo se u svakom pojedinom pokretanju, a 58% se ponovilo više od jednom. Ta ponovljivost čini nemarno korištenje iskorištavajućim: napadač ne mora pogoditi tipografsku pogrešku. Samo treba promatrati koje halucinirano ime model ponavlja i registrirati ga prije nego što to učini pravi programer.
Najveća razlika je u razmjeru. Paket s tipografskim greškama čeka grešku u tipkanju. Paket s lošim tipkanjem čeka da ista preporuka generirana umjetnom inteligencijom stigne do sljedećeg programera, i onog nakon njega, i onog nakon njega, u svakoj organizaciji koja koristi isti model.
Zašto se slopscotting širi? #
Nemarno korištenje sustava se širi iz istog razloga kao i tipografsko korištenje sustava: napadači iskorištavaju predvidljiv obrazac kojem programeri vjeruju prema zadanim postavkama. Novost je skala povjerenja.
Uspon kodiranja potpomognutog umjetnom inteligencijom, autonomni agenti i tijekovi rada „vibe kodiranja“, gdje programeri pregledavaju sve manje i manje koda prije nego što ga pokrenu, promijenili su površinu softverskog napada na dva konkretna načina:
Ulazna točka više nije samo programer. Napad tiposquattingom ovisi o tipografskoj pogrešci jedne osobe. Slopsquatting može nastati unutar samog modela i proširiti se na stotine različitih programera koji postavljaju slična pitanja i primaju istu haluciniranu preporuku, umnožavajući doseg jednog napada.
Površina napada pomaknula se dalje u lancu. Više nije dovoljno pregledati kod koji piše čovjek. Timovi također moraju pratiti ovisnosti koje predlaže AI asistent, MCP poslužitelje na koje se povezuje i agente koji autonomno instaliraju pakete bez izravnog ljudskog pregleda. Tradicionalni AppSec, izgrađen za pregled repozitorija i ljudskih resursa. commits, nikada nije bio dizajniran da promatra ovu novu interakciju između programera, umjetne inteligencije i registra paketa, što je upravo mjesto gdje se krije nemar.
Rizici skvotiranja #
Nemarno korištenje stvara rizik u svim dimenzijama koje se međusobno nadopunjuju, a trend se ubrzava umjesto da jenjava.
- Ponavljano iskorištavanje. Budući da halucinirana imena nisu slučajna, isto lažno ime se predvidljivo ponavlja u svim sesijama i modelima. Napadači ne moraju nagađati; samo trebaju promatrati ponašanje modela i registrirati imena koja se ponavljaju, pretvarajući jednokratnu halucinaciju u skalabilan, ponovljiv napad.
- Agentičko širenje. Nemarno korištenje više nije ograničeno na kopiranje i lijepljenje predložene naredbe za instalaciju od strane programera. U siječnju 2026. istraživači su otkrili da su agenti za umjetnu inteligenciju već proširili upute koje se odnose na halucinirani npm paket u 237 repozitorija, a agenti su ga i dalje svakodnevno pokušavali instalirati, bez čovjeka u petlji koji bi uočio grešku.
- Izbjegavanje sličnosti imena. Otprilike 38% izmišljenih imena jako nalikuje stvarnim paketima, što smanjuje vjerojatnost da će programer na prvi pogled uočiti zamjenu. Zlonamjerni paket koji se nalazi jedan znak dalje od pouzdane ovisnosti ne izgleda sumnjivo; izgleda kao tipografska pogreška koju biste i sami napravili.
- Trajna izloženost nakon detekcije. Halucinirani paket koji je zamijenio legitimni ESLint dodatak i dalje je bilježio tjedna preuzimanja čak i nakon što ga je registar stavio pod sigurnosnu zabranu, što je dokaz da označavanje neispravnog paketa ne sprječava odmah njegovu instalaciju.
Gdje se skriva nemarno čučanje #
Najteži dio slopsquattinga za otkriti je taj što u trenutku kada se dogodi ne izgleda kao napad; izgleda kao normalna pip ili npm instalacija koja se uspješno završava, jer paket zaista postoji nakon što ga je napadač registrirao.
Neuredno čučanje obično se izvodi kroz:
- Pomoćnici za kodiranje umjetnom inteligencijom i kopiloti. Početni prijedlog, izmišljeno ime paketa predstavljeno uz legitiman, funkcionalan kod, je mjesto odakle potječe ranjivost. Ništa u okolnom kodu ne izgleda pogrešno, jer obično nije; samo je ovisnost lažna.
- Autonomni kodirajući agenti. Agentski tijekovi rada koji instaliraju ovisnosti bez ljudskog pregleda uklanjaju jednu kontrolnu točku, programera koji pauzira kako bi provjerio ime, što bi inače uhvatilo halucinirani paket prije nego što stigne do projekta.
- Upravitelji paketa bez koraka provjere. Ni pip install ni npm install ne izbacuju grešku kada ciljni paket postoji i zlonamjeran je. Instalacija se normalno dovršava jer, iz perspektive upravitelja paketa, sve je u redu.
Kako otkriti i spriječiti skvotiranje #
Sprječavanje nemarnog korištenja ne zahtijeva egzotične alate. Zahtijeva sustavnu primjenu praksi higijene ovisnosti koje već postoje, umjesto njihovog ublažavanja u trenutku kada umjetna inteligencija "predloži" kod.
Provjerite svaki novi paket prije instalacije, posebno onaj koji je predložio asistent umjetne inteligencije. Potvrdite da postoji u službenom registru, tko ga održava, kada je objavljen i izgledaju li brojke preuzimanja autentično.
Nikada ne pretpostavljajte da je kod generiran umjetnom inteligencijom siguran po defaultuKod koji „radi“ ne znači da su njegove ovisnosti legitimne. Pregled ovisnosti trebao bi biti dio pregleda koda, a ne iznimka.
Implementirajte skeniranje ovisnosti koje označava obrasce rizika izvan poznatih CVE-ova: anomalne pakete, imena sumnjivo slična postojećima, nove održavatelje bez dosadašnjeg rada ili instaliranje skripti s neobičnim ponašanjem.
Primijenite AI-SPM kao sloj upravljanja. Upravljanje sigurnosnim pozicijama umjetne inteligencije praksa je osmišljena za hvatanje upravo ovakvih rizika koje uvodi umjetna inteligencija u velikim razmjerima, kontinuirano otkrivajući ovisnosti koje predlaže umjetna inteligencija i ocjenjujući ih prije nego što se čovjek ikada mora sjetiti provjeriti ručno.
Zaštita od čučnjeva s Xygenijem #
Nemarnost se ne može spriječiti samo budnošću programera. Politika koja kaže "provjeri svaki paket koji predloži umjetna inteligencija" ne primjenjuje se na cijelu organizaciju u kojoj prijedlozi ovisnosti stižu brže nego što to bilo koji ljudski proces pregleda može pratiti.
Xygenijev pristup ovo tretira kao problem kontinuiranog otkrivanja: AI inventar i AI BOM površina svake uvedene umjetnom inteligencijom ovisnost preko SDLC, dajući timovima živi zapis onoga što je AI asistent zapravo predložio i instalirao. Xygeni Shield, pokretan od strane MEW (Rano upozorenje o zlonamjernom softveru), otkriva i blokira zlonamjerne pakete, uključujući i one s pogreškama, prije nego što postoji potpis, zatvarajući upravo onu prazninu koju skeneri temeljeni na potpisima ostavljaju otvorenom.
Ako vaši timovi koriste AI asistente za kodiranje, problem s nemarnim pristupom već je prisutan. Pitanje je hoće li se sljedeće halucinirano ime uhvatiti prije nego što se instalira.

Česta pitanja #
Slopsquatting je napad u lancu opskrbe gdje zlonamjerni akteri registriraju točno nepostojeća imena paketa koja asistenti umjetne inteligencije za kodiranje ponavljano haluciniraju, puneći ih zlonamjernim softverom prije nego što ga programer instalira na temelju prijedloga umjetne inteligencije.
Napadači promatraju koja imena paketa modeli umjetne inteligencije više puta haluciniraju, a zatim registriraju ta točna imena zlonamjernim kodom prije nego što to učini pravi programer. Budući da se halucinirano ime predvidljivo ponavlja kroz upite i sesije, jedan registrirani nemarno generirani paket može dosegnuti svakog programera koji primi sličan prijedlog umjetne inteligencije, pretvarajući jednu posebnost modela u skalabilan napad na cijelu korisničku bazu.
Učinkovito otkrivanje znači tretiranje ovisnosti koje predlaže umjetna inteligencija kao zasebne kategorije rizika, a ne kao podskupa uobičajenih ovisnosti otvorenog koda. To zahtijeva uvid u ono što asistenti i agenti umjetne inteligencije kodiraju i instaliraju zapravo predlažu i instaliraju, uspoređujući to s podacima registra (datum objave, povijest održavanja, obrasci preuzimanja) i otkrivanjem zlonamjernog softvera na temelju ponašanja, umjesto oslanjanja samo na skeniranje na temelju potpisa.