מה זה סלופסקווט? זוהי התקפה שבו גורמים זדוניים רושמים את שמות החבילות המדויקים שעוזרי קידוד בינה מלאכותית מדמיינים, לאחר מכן טוענים את החבילות הללו בתוכנה זדונית ומחכים שהמפתח יתקין אותן. זה לא מקרה קצה. במחקר שהוצג ב אבטחת USENIX 2025, 19.7% מהחבילות שהומלצו על ידי מודלים של קידוד בינה מלאכותית על פני 576,000 דגימות קוד לא היו קיימות, והחוקרים רשמו מעל 205,000 שמות הזויים ייחודיים על פני המודלים שנבדקו.
הבנת מהו סלופסקווטינג (ומה המשמעות של סלופסקווטינג בפועל) חשובה משום שזו לא רק תכונה מוזרה של בינה מלאכותית. סלופסקווטינג הוא יורשו של עידן הבינה המלאכותית... קלקול הקלדה, עם הבדל קריטי אחד: typosquatting תלוי בטעות הקלדה של אדם, בעוד ש-slopsquatting תלוי בטעות של מודל, שחוזרת על עצמה באופן צפוי מספיק כדי שתוקף ינצל אותה בקנה מידה גדול. מדריך זה מסביר מהו slopsquatting, מדוע הוא מתפשט מהר יותר ממה ש-package review יכול לתפוס אותו, אילו סיכונים הוא יוצר, וכיצד ארגונים יכולים לגלות ולמנוע אותו לפני שהוא מגיע למצב הייצור.
משמעות של סלופסקוואטינג: הגדרה #
משמעות הסלוסקוואטינג, באופן רשמי: הנוהג של רישום שם חבילה שהזיותיו של מודל שפה גדול, שם מומצא שנשמע סביר אך אינו קיים באף רישום ציבורי, וטעינתו בקוד זדוני. לפני שמפתח אמיתי מתקין אותו על סמך הצעת הבינה המלאכותית.
המונח מרחיב את מושג ה-typosquatting (רישום שם חבילה המחקה שם אמיתי באמצעות שגיאת כתיב נפוצה) למצב הכשל הספציפי של בינה מלאכותית גנרטרית. בעוד ש-typosquatting מנצל שגיאת הקלדה של אדם, slopsquatting מנצל... הזיות של מודל בינה מלאכותיתnעוזר קידוד ממליץ על pip install או npm install עבור חבילה שמעולם לא הייתה קיימת, ותוקף ששם לב לאותו שם מומצא חוזר על עצמו בהנחיות רושם אותו ראשון.
משמעותה המעשית של "סלופסקווט" היא זו: מתקפת שרשרת אספקה שהופכת טעות של מודל לניצול יעיל, ללא צורך בטעות אנוש מעבר לאמון בהצעת הבינה המלאכותית. זה לא תיאורטי. חבילה הזויה אחת, שהושתלה כניסוי שפיר בשנת 2023, משכה למעלה מ-30,000 הורדות בשלושה חודשים ללא קידום כלל, ואישרה שווריאציות זדוניות המנצלות דפוס זה בדיוק קיימות כיום במרשמים הציבוריים.
סלופסקווטינג לעומת טייפוסקווטינג: מה ההבדל? #
ל-Slopsquatting ול-typosquatting יש את אותה תוצאה (מפתח מתקין חבילה זדונית מתוך אמונה שהיא לגיטימית), אך מקור השגיאה שונה באופן קטגורי.
טיפוסקוואטינג תלוי בטעות הקלדה אנושית: מפתח מתכוון להקליד requests ומקליד reqeusts במקום זאת, ותוקף שרשם את השם השגוי הזה ממתין. הסיכון קשור ללחיצת מקלדת אחת של מפתח, רגע אחד של חוסר תשומת לב.
שיטת "סלופסקווט" מסירה לחלוטין את טעות האנוש ומחליפה אותה בשגיאת מודל, כזו שחוזרת על עצמה בקנה מידה גדול בכל מפתח שמקבל הנחיה דומה. ניתוח מעקב מצא שכאשר חוקרים הריצו הנחיות זהות עשר פעמים כל אחת, 43% משמות החבילות ההזויים הופיעו בכל ריצה, ו-58% חזרו על עצמם יותר מפעם אחת. חזרתיות זו היא מה שהופכת את השגיאה ההזויה של "סלופסקווט" לניתנת לניצול: תוקף אינו צריך לנחש שגיאת הקלדה. הוא רק צריך לראות איזה שם הזוי מודל חוזר על עצמו ולרשום אותו לפני שמפתח אמיתי יעשה זאת.
ההבדל הגדול ביותר הוא קנה המידה. חבילה מסוג typosquatted מחכה לתאונת הקלדה. חבילה מסוג slopsquatted מחכה שאותה המלצה שנוצרה על ידי בינה מלאכותית תגיע למפתח הבא, לזה שאחריו, ולזה שאחריו, בכל ארגון המשתמש באותו מודל.
למה מתיחות סלופסקוואטינג? #
סלופסקווטינג מתפשט מאותה סיבה שתמיד הייתה לו: תוקפים מנצלים דפוס צפוי שמפתחים סומכים עליו כברירת מחדל. מה שחדש הוא היקף האמון.
עליית הקידוד בסיוע בינה מלאכותית, סוכנים אוטונומיים וזרימות עבודה של "קידוד וייב", שבהן מפתחים סוקרים פחות ופחות קוד לפני הרצתו, שינו את משטח התקיפה של התוכנה בשתי דרכים קונקרטיות:
נקודת הכניסה כבר אינה רק המפתח. התקפת typosquatting תלויה בטעות הקלדה של אדם אחד. התקפת slopsquatting יכולה לנבוע בתוך המודל עצמו ולהתפשט למאות מפתחים שונים ששואלים שאלות דומות ומקבלים את אותה המלצה הזויה, מה שמכפיל את טווח ההשפעה של התקפה אחת.
משטח ההתקפה התקדם הלאה במעלה השרשרת. כבר לא מספיק לבדוק את הקוד שכותב אדם. צוותים צריכים גם לעקוב אחר התלויות שעוזר בינה מלאכותית מציע, שרתי ה-MCP אליהם הוא מתחבר, והסוכנים שמתקינים חבילות באופן אוטונומי ללא בדיקה אנושית ישירה. AppSec מסורתי, שנבנה כדי לבדוק מאגרים וקוד אנושי. commits, מעולם לא תוכנן להתבונן באינטראקציה החדשה הזו בין מפתחים, בינה מלאכותית ורישום חבילות, וזה בדיוק המקום שבו מסתתרת ה"סלוסקוואטינג".
סיכוני כריעה #
סלוסקוואטינג יוצר סיכון על פני ממדים שמחמירים זה את זה, והמגמה מאיצה במקום לדעוך.
- ניצול חוזר על עצמו. מכיוון ששמות הזויים אינם אקראיים, אותו שם מזויף צץ מחדש באופן צפוי בין סשנים ומודלים. תוקפים אינם צריכים לנחש; הם רק צריכים לצפות בהתנהגות המודל ולרשום את השמות שחוזרים על עצמם, מה שהופך הזיה חד פעמית להתקפה ניתנת להרחבה וחוזרת על עצמה.
- התפשטות סוכנית. סלופסקוטינג כבר לא מוגבל להעתקה-הדבקה של פקודת התקנה מוצעת על ידי מפתח. בינואר 2026, חוקרים גילו שסוכני קידוד מבוססי בינה מלאכותית כבר הפיצו הוראות המתייחסות לחבילת npm הזויה ב-237 מאגרים, כאשר הסוכנים עדיין מנסים להתקין אותה מדי יום, ללא אדם בלולאה כדי לזהות את הטעות.
- התחמקות מדמיון שם. כ-38% מהשמות ההזויים דומים מאוד לחבילות אמיתיות, מה שמפחית את הסיכוי שמפתח יבחין בהחלפה במבט חטוף. חבילה זדונית המרחיקה תו אחד מתלות מהימנה אינה נראית חשודה; היא נראית כמו שגיאת הקלדה שהייתם עושים בעצמכם.
- חשיפה מתמשכת לאחר הגילוי. חבילה הזויה שהחליפה תוסף ESLint לגיטימי עדיין רשמה הורדות שבועיות גם לאחר שהרישום הכניס אותה להחזקת אבטחה, עדות לכך שסימן של חבילה שחוקה לא מונע באופן מיידי את התקנתה.
היכן מסתתר כריעה #
החלק הקשה ביותר לתפיסה של slopsquatting הוא שזה לא נראה כמו התקפה ברגע שהיא מתרחשת; זה נראה כמו התקנת pip או npm רגילה שמסתיימת בהצלחה, מכיוון שהחבילה קיימת באמת ברגע שתוקף רשם אותה.
סלוסקוואטינג בדרך כלל נכנס דרך:
- עוזרי קידוד בינה מלאכותית וטייסי משנה. ההצעה הראשונית, שם חבילה מומצא המוצג לצד קוד לגיטימי ופעיל, היא מקור הפגיעות. שום דבר בקוד שמסביב לא נראה שגוי, כי בדרך כלל הוא לא כזה; רק התלות מזויפת.
- סוכני קידוד אוטונומיים. זרימות עבודה של סוכנים שמתקינות תלויות ללא בדיקה אנושית מסירות את נקודת הביקורת היחידה, מפתח שעוצר כדי לאמת שם, שאחרת הייתה תופסת חבילה הזויה לפני שהיא מגיעה לפרויקט.
- מנהלי חבילות ללא שלב אימות. לא pip install ולא npm install זורקים שגיאה כאשר חבילת היעד קיימת והיא זדונית. ההתקנה מסתיימת כרגיל מכיוון שמנקודת מבטו של מנהל החבילות, שום דבר לא בסדר.
כיצד לגלות ולמנוע סלופסקווטינג #
מניעת "סלופסקווט" אינה דורשת כלים אקזוטיים. היא דורשת יישום שיטתי של נהלי היגיינת תלות שכבר קיימים, במקום להרפות אותם ברגע שבינה מלאכותית "מציעה" את הקוד.
אימות של כל חבילה חדשה לפני התקנתה, במיוחד כזה שהוצע על ידי עוזר בינה מלאכותית. יש לוודא שהוא קיים ברישום הרשמי, מי מתחזק אותו, מתי הוא פורסם, והאם מספרי ההורדות שלו נראים מקוריים.
לעולם אל תניחו שקוד שנוצר על ידי בינה מלאכותית בטוח כברירת מחדלקוד ש"עובד" לא אומר שהתלות שלו לגיטימיות. סקירת תלויות צריכה להיות חלק מסקירת קוד, לא חריגה ממנה.
פרוס סריקת תלויות שמסמנת דפוסי סיכון מעבר ל-CVE ידועים: חבילות חריגות, שמות דומים באופן חשוד לשמות קיימים, מתחזקים חדשים ללא רקורד, או התקנת סקריפטים עם התנהגות חריגה.
החלת AI-SPM כשכבת הממשל. ניהול תנוחת אבטחה של בינה מלאכותית (AI Security Posture Management) היא הפרקטיקה שנועדה לתפוס בדיוק את סוג הסיכון הזה המופעל על ידי בינה מלאכותית בקנה מידה גדול, תוך גילוי מתמיד של תלויות המוצעות על ידי בינה מלאכותית ודירוגן לפני שאדם צריך לזכור לבדוק באופן ידני.
אבטחה מפני כריעה קלה בעזרת Xygeni #
לא ניתן למנוע נטישת אפליקציות באמצעות ערנות של מפתחים בלבד. מדיניות שאומרת "לאמת כל חבילה המוצעת על ידי בינה מלאכותית" אינה מתאימה לארגון שבו הצעות תלויות מגיעות מהר יותר מכל תהליך סקירה אנושי שיכול לעמוד בקצב.
קסיגני'ס גישה מתייחסת לכך כבעיית גילוי מתמשכת: מלאי בינה מלאכותית ו בינה מלאכותית BOM לחשוף כל בינה מלאכותית שהוצגה תלות ברחבי SDLC, מה שנותן לצוותים תיעוד חי של מה שעוזר בינה מלאכותית הציע והתקין בפועל. Xygeni Shield, מופעל על ידי MEW (אזהרה מוקדמת מפני תוכנות זדוניות), מזהה וחוסם חבילות זדוניות, כולל חבילות שסורקות חתימות זמינות, לפני שקיימת חתימה, וסוגר בדיוק את הפער שסורקים מבוססי חתימות משאירים פתוח.
אם הצוותים שלכם משתמשים בעוזרי קידוד מבוססי בינה מלאכותית, בעיית ה"סלופסקווט" כבר קיימת. השאלה היא האם השם ההזוי הבא יתפס לפני שהוא מותקן.

שאלות נפוצות #
Slopsquatting היא מתקפת שרשרת אספקה שבה גורמים זדוניים רושמים את שמות החבילות המדויקים שאינם קיימים שעוזרי קידוד בינה מלאכותית מזיזים שוב ושוב, טוענים אותם בתוכנה זדונית לפני שמפתח מתקין אחת על סמך הצעת הבינה המלאכותית.
תוקפים צופים באילו שמות חבילות מודלים של בינה מלאכותית מזיזים שוב ושוב, ואז רושמים את השמות המדויקים האלה עם קוד זדוני לפני שמפתח אמיתי יעשה זאת. מכיוון שהשם ההזוי חוזר על עצמו באופן צפוי בין הנחיות וסשנים, חבילה אחת רשומה מסוג slopsquatted יכולה להגיע לכל מפתח שמקבל הצעה דומה של בינה מלאכותית, ולהפוך מוזרות מודל אחת להתקפה ניתנת להרחבה על פני בסיס משתמשים שלם.
גילוי יעיל פירושו התייחסות לתלויות המוצעות על ידי בינה מלאכותית כקטגוריית סיכון נפרדת, ולא כקבוצת משנה של תלויות קוד פתוח רגילות. זה דורש נראות לגבי מה שעוזרי וסוכני קידוד של בינה מלאכותית מציעים ומתקינים בפועל, תוך השוואה מול נתוני רישום (תאריך פרסום, היסטוריית מתחזק, דפוסי הורדה) וזיהוי תוכנות זדוניות מבוסס התנהגות, במקום להסתמך על סריקה מבוססת חתימה בלבד.