Glossario della sicurezza Xygeni
Glossario sulla sicurezza dello sviluppo e della distribuzione del software

Cos'è lo slopsquatting?

Cos'è lo slopsquatting? Si tratta di un attacco in cui attori malintenzionati registrano i nomi esatti dei pacchetti che gli assistenti di programmazione IA immaginano, quindi caricano quei pacchetti con malware e aspettano che uno sviluppatore li installi. Non è un caso limite. Nella ricerca presentata a USENIX Security 2025, Il 19.7% dei pacchetti raccomandati dai modelli di codifica basati sull'IA, su un totale di 576,000 campioni di codice, non esisteva, e i ricercatori hanno registrato oltre 205,000 nomi allucinatori unici nei modelli testati.

Capire cosa sia lo slopsquatting (e cosa significhi slopsquatting nella pratica) è importante perché non è solo una stranezza dell'IA. Lo slopsquatting è il successore dell'era dell'IA di typosquattingcon una differenza fondamentale: il typosquatting si basa su un errore di digitazione umano, mentre lo slopsquatting si basa su un errore di un modello, ripetuto con sufficiente prevedibilità da consentire a un attaccante di sfruttarlo su larga scala. Questa guida spiega cos'è lo slopsquatting, perché si diffonde più velocemente di quanto la revisione dei pacchetti possa individuarlo, quali rischi comporta e come le organizzazioni possono scoprirlo e prevenirlo prima che raggiunga l'ambiente di produzione.

Significato di Slopsquatting: Definizione #

Slopsquatting significa, formalmente: la pratica di registrare un nome di pacchetto che un modello linguistico di grandi dimensioni immagina, un nome inventato che suona plausibile ma non esiste in alcun registro pubblico, e di caricarlo con codice dannoso. prima che un vero sviluppatore lo installi basandosi sul suggerimento dell'IA.

Il termine estende il concetto di typosquatting (registrazione di un nome di pacchetto che imita uno reale attraverso un errore di ortografia comune) alla specifica modalità di fallimento dell'IA generativa. Mentre il typosquatting sfrutta un errore di battitura umano, lo slopsquatting sfrutta un Allucinazione del modello di IAnUn assistente di programmazione suggerisce di installare un pacchetto tramite `pip install` o `npm install`, ma il pacchetto non è mai esistito e un malintenzionato, avendo notato che lo stesso nome inventato si ripete in diverse richieste, lo registra per primo.

In termini pratici, il termine "slopsquatting" si riferisce a un attacco alla catena di approvvigionamento che trasforma un errore di un modello in un exploit funzionante, senza richiedere alcun errore umano se non la fiducia nel suggerimento dell'IA. Non si tratta di una teoria. Un singolo pacchetto, apparentemente innocuo ma in realtà frutto di un test, è stato pubblicato nel 2023 e ha totalizzato oltre 30,000 download in tre mesi senza alcuna promozione, confermando che varianti dannose che sfruttano esattamente questo schema sono oggi presenti nei registri pubblici.

Slopsquatting vs Typosquatting: qual è la differenza? #

Lo slopsquatting e il typosquatting hanno lo stesso esito (uno sviluppatore installa un pacchetto dannoso credendolo legittimo), ma la fonte dell'errore è categoricamente diversa.

Il typosquatting si basa su un errore di battitura umano: uno sviluppatore intende scrivere "requests" ma digita "requests" al posto di "requests", e un malintenzionato che ha registrato quel nome errato è in agguato. Il rischio è legato alla pressione di un singolo tasto da parte dello sviluppatore, a un momento di disattenzione.

Lo slopsquatting elimina completamente l'errore umano e lo sostituisce con un errore del modello, che si ripete su larga scala per ogni sviluppatore che riceve un prompt simile. Un'analisi successiva ha rilevato che, quando i ricercatori hanno ripetuto i prompt identici dieci volte ciascuno, il 43% dei nomi di pacchetti "allucinati" è apparso in ogni singola esecuzione e il 58% si è ripetuto più di una volta. Questa ripetibilità è ciò che rende lo slopsquatting sfruttabile: un attaccante non ha bisogno di indovinare un errore di battitura. Deve solo osservare quale nome "allucinato" un modello continua a ripetere e registrarlo prima che lo faccia uno sviluppatore reale.

La differenza principale sta nella scala. Un pacchetto typosquatted aspetta un errore di battitura. Un pacchetto slopsquatted aspetta che la stessa raccomandazione generata dall'IA raggiunga lo sviluppatore successivo, e quello dopo ancora, e quello dopo, in ogni organizzazione che utilizza lo stesso modello.

Perché gli slopsquatting spreads? #

Lo slopsquatting prolifera per lo stesso motivo per cui ha sempre fatto il typosquatting: gli aggressori sfruttano uno schema prevedibile di cui gli sviluppatori si fidano per impostazione predefinita. La novità sta nell'entità di questa fiducia.

L'ascesa della programmazione assistita dall'IA, agenti autonomi e flussi di lavoro di “vibe coding”, in cui gli sviluppatori rivedono sempre meno codice prima di eseguirlo, hanno modificato la superficie di attacco del software in due modi concreti:

Il punto di ingresso non è più solo lo sviluppatore. Un attacco di typosquatting dipende da un singolo errore di battitura. Lo slopsquatting può avere origine all'interno del modello stesso e propagarsi a centinaia di sviluppatori diversi che pongono domande simili e ricevono la stessa raccomandazione errata, moltiplicando la portata di un singolo attacco.

La superficie di attacco si è spostata più in alto nella catena. Non è più sufficiente rivedere il codice scritto da un essere umano. I team devono anche monitorare le dipendenze suggerite da un assistente IA, i server MCP a cui si connette e gli agenti che installano i pacchetti autonomamente senza una revisione umana diretta. La sicurezza delle applicazioni tradizionale, progettata per rivedere i repository e l'intervento umano commits non è mai stato progettato per osservare questa nuova interazione tra sviluppatore, IA e registro dei pacchetti, che è esattamente il luogo in cui si nasconde lo slopsquatting.

Rischi dell'occupazione abusiva di locali degradati #

L'occupazione abusiva di terreni crea rischi su più livelli che si amplificano a vicenda, e la tendenza sta accelerando anziché attenuarsi.

  • Sfruttamento ripetibile. Poiché i nomi allucinati non sono casuali, lo stesso nome falso riemerge in modo prevedibile in diverse sessioni e modelli. Gli aggressori non hanno bisogno di tirare a indovinare; devono solo osservare il comportamento del modello e registrare i nomi che si ripetono, trasformando un'allucinazione occasionale in un attacco scalabile e ripetibile.
  • Propagazione degli agenti. Il fenomeno dello "slopsquatting" non si limita più al semplice copia-incolla di un comando di installazione suggerito da parte di uno sviluppatore. Nel gennaio 2026, i ricercatori hanno scoperto che agenti di programmazione basati sull'intelligenza artificiale avevano già diffuso istruzioni che facevano riferimento a un pacchetto npm inesistente in 237 repository, e continuavano a tentare di installarlo quotidianamente, senza alcun intervento umano per individuare l'errore.
  • Elusione della somiglianza dei nomi. Circa il 38% dei nomi di pacchetti generati casualmente assomiglia molto a pacchetti reali, riducendo la probabilità che uno sviluppatore individui la sostituzione a colpo d'occhio. Un pacchetto dannoso che differisce di un solo carattere da una dipendenza affidabile non appare sospetto; sembra un errore di battitura che si potrebbe commettere.
  • Esposizione persistente dopo l'individuazione. Un pacchetto sospetto che aveva sostituito un plugin ESLint legittimo continuava a registrare download settimanali anche dopo che il registro lo aveva bloccato per motivi di sicurezza, a dimostrazione del fatto che segnalare un pacchetto sospetto non ne impedisce immediatamente l'installazione.

Dove si nasconde lo squapsquatting #

La difficoltà maggiore nel rilevare lo slopsquatting sta nel fatto che, nel momento in cui si verifica, non appare come un attacco; sembra una normale installazione tramite pip o npm che si conclude con successo, perché il pacchetto esiste realmente una volta che l'attaccante lo ha registrato.

Lo slopsquatting in genere avviene attraverso:

  • Assistenti e copiloti per la programmazione tramite intelligenza artificiale. Il suggerimento iniziale, un nome di pacchetto inventato presentato insieme a codice legittimo e funzionante, è l'origine della vulnerabilità. Nulla nel codice circostante sembra sbagliato, perché di solito non lo è; solo la dipendenza è falsa.
  • Agenti di codifica autonomi. I flussi di lavoro automatizzati che installano le dipendenze senza revisione umana eliminano l'unico punto di controllo, ovvero la verifica del nome da parte dello sviluppatore, che altrimenti permetterebbe di individuare un pacchetto errato prima che raggiunga un progetto.
  • Gestori di pacchetti senza fase di verifica. Né pip install né npm install generano un errore quando il pacchetto di destinazione esiste ed è dannoso. L'installazione si completa normalmente perché, dal punto di vista del gestore di pacchetti, non c'è nulla di anomalo.

Come scoprire e prevenire lo slopsquatting #

Prevenire lo slopsquatting non richiede strumenti sofisticati. Richiede l'applicazione sistematica di pratiche di gestione delle dipendenze già esistenti, anziché allentarle nel momento in cui un'IA "suggerisce" il codice.

Verifica ogni nuovo pacchetto prima di installarlo., soprattutto se suggerito da un assistente basato sull'intelligenza artificiale. Verificate che sia presente nel registro ufficiale, chi lo gestisce, quando è stato pubblicato e se il numero di download sembra autentico.

Non dare mai per scontato che il codice generato dall'IA sia sicuro per impostazione predefinita.Il fatto che un codice "funzioni" non significa che le sue dipendenze siano legittime. La revisione delle dipendenze dovrebbe essere parte integrante della revisione del codice, non un'eccezione.

Implementa la scansione delle dipendenze che segnala modelli di rischio al di là delle CVE note: pacchetti anomali, nomi sospettosamente simili a quelli esistenti, nuovi manutentori senza esperienza pregressa o script di installazione con comportamenti insoliti.

Applicare AI-SPM come livello di governance. La gestione della postura di sicurezza basata sull'IA è la pratica progettata per individuare su larga scala proprio questo tipo di rischio introdotto dall'IA, scoprendo continuamente le dipendenze suggerite dall'IA e assegnando loro un punteggio prima ancora che un essere umano debba ricordarsi di verificarle manualmente.

Protezione contro l'occupazione abusiva di edifici con Xygeni #

L'accaparramento di dipendenze non può essere impedito solo dalla vigilanza degli sviluppatori. Una politica che impone di "verificare ogni pacchetto suggerito dall'IA" non è applicabile a un'organizzazione in cui i suggerimenti sulle dipendenze arrivano più velocemente di quanto qualsiasi processo di revisione umana possa gestire.

Quello di Xygeni l'approccio tratta questo come un problema di rilevamento continuo: Inventario AI e AI BOM superficie ogni IA introdotta dipendenza attraverso il SDLC, fornendo ai team una registrazione in tempo reale di ciò che un assistente IA ha effettivamente suggerito e installato. Xygeni Shield, basato su MEW (Malware Early Warning), rileva e blocca i pacchetti dannosi, inclusi quelli ottenuti tramite slopsquat, prima ancora che venga rilasciata una firma, colmando proprio la lacuna lasciata aperta dagli scanner basati sulle firme.

Se i vostri team utilizzano assistenti di programmazione basati sull'IA, il problema dello slopsquatting è già presente. La domanda è se il prossimo nome frutto di allucinazioni verrà individuato prima che venga installato.

FAQ #

Cos'è lo slopsquatting, in una frase?

Lo slopsquatting è un attacco alla catena di approvvigionamento in cui malintenzionati registrano i nomi esatti di pacchetti inesistenti che gli assistenti di programmazione basati sull'IA generano ripetutamente, caricandoli con malware prima che uno sviluppatore installi un pacchetto basandosi sul suggerimento dell'IA.

In che modo l'occupazione abusiva di terreni crea un rischio per la sicurezza della catena di approvvigionamento?

Gli aggressori osservano quali nomi di pacchetti i modelli di IA "allucinano" ripetutamente, quindi registrano esattamente quegli stessi nomi con codice dannoso prima che lo faccia uno sviluppatore reale. Poiché il nome "allucinato" si ripete in modo prevedibile tra i vari prompt e sessioni, un singolo pacchetto "slopsquatted" registrato può raggiungere ogni sviluppatore che riceve un suggerimento simile dall'IA, trasformando una singola anomalia del modello in un attacco scalabile all'intera base di utenti.

Come si individua il rischio di occupazione abusiva di terreni in un'organizzazione?

Una rilevazione efficace implica trattare le dipendenze suggerite dall'IA come una categoria di rischio distinta, non come un sottoinsieme delle normali dipendenze open source. Ciò richiede visibilità su ciò che gli assistenti e gli agenti di programmazione basati sull'IA effettivamente suggeriscono e installano, confrontando tali informazioni con i dati del registro di sistema (data di pubblicazione, cronologia del manutentore, modelli di download) e con il rilevamento di malware basato sul comportamento, anziché affidarsi esclusivamente alla scansione basata sulle firme.

Inizia gratis

Inizia gratuitamente.
Nessuna carta di credito richiesta.

Inizia con un clic:

Queste informazioni saranno salvate in modo sicuro secondo quanto previsto dal Termini di Servizio and Informativa privacy

Schermata dell'app