2023 წელს, უსაფრთხოების მკვლევარმა, სახელად ბარ ლანიადომ, ჩაატარა ჩუმი ექსპერიმენტი. მან შენიშნა, რომ ხელოვნური ინტელექტის კოდირების ასისტენტები გამუდმებით გვირჩევდნენ Python-ის პაკეტს, სახელწოდებით ჩახუტება სახეზე - კლი, პაკეტი, რომელიც არ არსებობდა. ამიტომ მან შექმნა ის: ცარიელი ჩანაცვლების ველი, რომელიც ატვირთული იყო ზუსტად იმ სახელით, რომელსაც მოდელები იგონებდნენ. მან არ დაამატა არანაირი ფუნქციონალი და დატვირთვა. ის უბრალოდ დაელოდა.
სამ თვეში პაკეტი 30 000-ზე მეტჯერ გადმოიტვირთა. ჰალუცინირებული ინსტალაციის ბრძანება მსხვილი ტექნოლოგიური კომპანიის საკუთრებაში არსებულ საჯარო README საცავშიც კი მოხვდა. Lanyado-ს პაკეტი უვნებელი იყო. თუმცა, ექსპერიმენტმა შემაშფოთებელი რამ დაამტკიცა: თავდამსხმელს შეუძლია იწინასწარმეტყველოს, თუ რას გამოიგონებს ხელოვნური ინტელექტი, ჯერ დაარეგისტრიროს ის და დეველოპერებს თავად დააინსტალიროს. ამ ტექნიკას ახლა სახელი აქვს, უსაქმურობადა ეს პროგრამული უზრუნველყოფის მიწოდების ჯაჭვში ერთ-ერთი ყველაზე სწრაფად მზარდი საფრთხეა.
რა არის სლოპსკვატინგი?
ჩაჯდომები სლოპს-სკამზეა მიწოდების ჯაჭვზე თავდასხმა რომელშიც თავდამსხმელი არეგისტრირებს მავნე პროგრამულ პაკეტს ისეთი სახელით, რომელსაც ხელოვნური ინტელექტის კოდირების ასისტენტები პროგნოზირებად ჰალუცინაციებს განიცდიან. როდესაც დეველოპერი დახმარებას ითხოვს ხელოვნური ინტელექტის ხელსაწყოსგან და ის სთავაზობს დამაჯერებლად ჟღერადი, მაგრამ არარსებული დამოკიდებულების ინსტალაციას, თავდამსხმელმა უკვე განაცხადა ეს სახელი საჯარო რეესტრში, ამიტომ „სასარგებლო“ შემოთავაზება არაფრის ნაცვლად მავნე პროგრამას აინსტალირებს.
ტერმინი იყო შექმნილია 2025 წლის აპრილში სეთ ლარსონის მიერ, Python Software Foundation-ის უსაფრთხოების რეზიდენტი დეველოპერ-შემქმნელი. ეს არის თამაში ტიპოსქვატირება, ძველი შეტევა, სადაც დამნაშავეები რეგისტრირებენ პოპულარული პაკეტების ორთოგრაფიულ შეცდომებს (მოთხოვნები ნაცვლად მოითხოვს). განსხვავება შეცდომის წყაროა: typosquatting იყენებს ადამიანის შეცდომებს, ხოლო slopsquatting იყენებს ხელოვნური ინტელექტის „slop“-ს: თავდაჯერებულ, თავისუფლად, არასწორ შედეგს, რომელსაც დიდი ენობრივი მოდელები წარმოქმნიან.
რატომ მუშაობს ჩაჯდომები
შეიძლება იფიქროთ, რომ ხელოვნური ინტელექტით გამოწვეული ჰალუცინაციები შემთხვევითი ხმაურია: ყოველ ჯერზე სხვადასხვა ყალბი სახელი, რომლის იარაღად გამოყენება შეუძლებელია. კვლევა საპირისპიროს ამბობს და მთელი აზრიც სწორედ ეს არის.
რეცენზირებული კვლევა, რომელიც წარმოდგენილია USENIX Security 2025 (Spracklen et al.) 576,000 გენერირებული კოდის ნიმუშზე 16 დიდი ენობრივი მოდელი გამოსცადა. აღმოჩნდა, რომ რეკომენდებული პაკეტების 19.7% არ არსებობდა: სულ 205,474 უნიკალური ჰალუცინირებული სახელი. კრიტიკულად მნიშვნელოვანია, რომ ეს ჰალუცინაციები იყო განმეორებადიყალბი სახელების 43% განმეორებით მოთხოვნებში ხელახლა ჩნდებოდა, ხოლო 58% ერთი და იგივე მოთხოვნის ათ გაშვებაში. ღია კოდის მოდელები პაკეტებს ჰალუცინაციებით აშუქებდნენ შემთხვევათა 21.7%-ში; კომერციული მოდელებიც კი, როგორიცაა GPT-4, ამას შემთხვევათა 5.2%-ში ახდენდნენ: ოციდან ერთი.
განმეორებადობა არის ის, რაც უცნაურობას შეტევად აქცევს. თავდამსხმელს არ სჭირდება გამოცნობა. მათ შეუძლიათ გაუშვან პოპულარული მოთხოვნები, ჩაიწერონ, თუ რომელ არარსებულ პაკეტებს გვთავაზობენ მოდელები და დაარეგისტრირონ ეს სახელები, როგორც მავნე პროგრამა. ხელოვნური ინტელექტი ახორციელებს მათ მიზანში ამოღებას.
როგორ ვითარდება უსაქმურობის ჩაკვატების შეტევა
შეტევის ჯაჭვი მოკლეა, რაც ნაწილობრივ მისი სახიფათოობის მიზეზია:
- უყურე თავდამსხმელი ხელოვნური ინტელექტის კოდირების ასისტენტებს ავალებს საერთო განვითარების დავალებებს და აღრიცხავს პაკეტების სახელებს, რომლებიც ამ ინსტრუმენტებმა გამოიგონეს, მაგრამ რეესტრში არ არსებობს.
- რეგისტრაცია. ისინი აქვეყნებენ მავნე პაკეტს ამ ჰალუცინირებული სახელით, სუფთა README-ით, დამაჯერებელი მეტამონაცემებით და ინსტალაციის სკრიპტში დამალული დატვირთვით.
- დაელოდეთ. დეველოპერი (ან ავტონომიური კოდირების აგენტი) ხელოვნური ინტელექტის ინსტრუმენტს მსგავს კითხვას უსვამს, იგივე ჰალუცინაციურ რეკომენდაციას იღებს და შემდეგ ასრულებს ინსტალაცია.
- აღასრულე. პაკეტის ინსტალაციის კაუჭი ირთვება, საიდუმლოებების ამოღება, საპირისპირო გარსის გახსნა ან უკანა კარის ჩადგმა და კომპრომეტირება ბილდებსა და წარმოებაში გადადის.
ავტონომიური კოდირების აგენტები მესამე საფეხურის გამოყენების ალბათობას გაცილებით ზრდის. აგენტი, რომელიც დამოკიდებულებებს ადამიანის მიერ განხილვის გარეშე აყენებს, შლის იმ ერთადერთ საკონტროლო წერტილს, სადაც დეველოპერი შესაძლოა გაჩერებულიყო და ეფიქრა: „ამ პაკეტის შესახებ არასდროს მსმენია“.
რამდენად ცუდია, მართლა?
უარესობისკენ მიდის, არა გაუმჯობესებისკენ. USENIX-ის კვლევამ 16 მოდელი გამოსცადა და მაინც აჩვენა, რომ რეკომენდებული პაკეტის თითქმის ყოველი მეხუთე ნაწილი არ არსებობდა, ამიტომ ეს პრობლემა მხოლოდ ძველი ან სუსტი ხელსაწყოებით არ შემოიფარგლება. მხოლოდ სასწავლო მონაცემებით მომუშავე კოდირების ასისტენტს არ აქვს საშუალება იცოდეს, უსაფრთხოა თუ არა მის მიერ შემოთავაზებული პაკეტის სახელი, ჰალუცინაციები აქვს თუ უკვე მონიშნულია, როგორც მავნე პროგრამა: მას რეესტრის რეალურ დროში ხედვა არ აქვს. ეს ლაბორატორიული ცნობისმოყვარეობა არ არის. ეს ზუსტად ის ქცევაა, რომელსაც დეველოპერები ახლა დღეში ათობითჯერ ეყრდნობიან.
მიწოდების ჯაჭვის ჰიგიენის უფრო ფართო კრახთან ერთად, უყურადღებობის ატეხვაც მასშტაბირდება. 2025 წელს, დიდი მოცულობის მავნე პაკეტების კამპანიები მიწოდების ჯაჭვის თავდასხმების საბაზისო საოპერაციო მოდელად იქცა, როგორც Xygeni-ის „ახალი AppSec თავდასხმის ტენდენციები 2026 წლისთვის“ დოკუმენტირებულია: თავდამსხმელები დიდი რაოდენობით აქვეყნებენ შეტყობინებებს, იღებენ სწრაფ განადგურებას და ეყრდნობიან ალბათობას, ხოლო ხელოვნური ინტელექტის ჰალუცინაციები მათ რეგისტრაციისთვის მაღალი კონვერსიის მქონე სახელების სტაბილურ მიწოდებას აწვდის.
როგორ დავიცვათ თავი უსაქმურობისგან
არასასიამოვნო სიმართლე ისაა, რომ ხელმოწერაზე დაფუძნებულ ინსტრუმენტებს ამის დაჭერა არ შეუძლიათ. დაუდევრად დაბლოკილი პაკეტი სრულიად ახალია; არ არსებობს CVE, არ არსებობს ხელმოწერა და შესაძლოა, ის მხოლოდ რამდენიმე საათით იყოს აქტიური გათიშვამდე, რაც საკმარისია ათასობით ინსტალაციის დასაგროვებლად. ეფექტური დაცვა ოთხ პრაქტიკას ეფუძნება:
- არასოდეს დააინსტალიროთ ხელოვნური ინტელექტის მიერ შემოთავაზებული პაკეტი მისი არსებობისა და ლეგიტიმურობის დადასტურების გარეშე. შეამოწმეთ ჩამოტვირთვის რეალური ისტორია, შემნახველი და საცავი და არა მხოლოდ სახელის სწორად ჟღერადობა.
- მავნე პროგრამების აღმოჩენა ქცევით და არა ხელმოწერებით. პაკეტის შეფასება გამოქვეყნების დროს მისი ინსტალაციის დროს მოქმედებების, ქსელის ზარების და დაბნელების ნიმუშები, ამგვარად, მავნე პაკეტი მონიშნულია მისი გამოჩენისთანავე და არა მას შემდეგ, რაც უკვე ცნობილი გახდება.
- დეველოპერებსა და რეესტრს შორის დააყენეთ დამოკიდებულების firewall. საეჭვო ან სრულიად ახალი პაკეტები ავტომატურად მოათავსეთ კარანტინში, სანამ ისინი აწყობის ეტაპზე მოხვდებიან, საჯარო რეესტრის ნდობის ნაგულისხმევად ნაცვლად.
- ინვენტარიზაცია გაუკეთეთ თქვენს სისტემაში ხელოვნური ინტელექტის მიერ გაშვებულ ინფორმაციას pipeline. კოდირების ასისტენტები და ავტონომიური აგენტები, რომლებიც დამოკიდებულებებს აყენებენ, თქვენი შეტევის ზედაპირის ნაწილია. AI მასალების ჩამონათვალი (AI-BOM) ამას თვალსაჩინოს ხდის.
ჩაჯდომები უფრო დიდი ცვლილების ერთ-ერთი სიმპტომია
უსაქმურობა უფრო ფართო სტრატეგიის ყველაზე ნათელი მაგალითია: ხელოვნური ინტელექტი ახლა ერთდროულად არის როგორც ის, ვინც თქვენს კოდს წერს, ასევე ის, რასაც თავდამსხმელები მიუთითებენ თქვენს მიწოდების ჯაჭვში. მისგან იზოლირებულად დაცვა საკმარისი არ არის; ის უფრო ფართო სტრატეგიას მიეკუთვნება. სრული სურათისთვის იხილეთ ჩვენი სახელმძღვანელო. ხელოვნური ინტელექტის მიწოდების ჯაჭვის უსაფრთხოება, რომელიც მოიცავს მავნე პაკეტებს, MCP რისკებიდა ხელოვნური ინტელექტის მიერ გენერირებული კოდი მათ წინააღმდეგ ბრძოლის თავდაცვით მექანიზმებთან ერთად.
შეწყვიტე უსაქმურობის ჩაცუცქვა, სანამ შენს აშენებას მიაღწევს
slopsquatted პაკეტის შესაჩერებლად ყველაზე ეფექტური ადგილია იმ მომენტი, როდესაც დეველოპერი ცდილობს მის ინსტალაციას, ინსტალაციის სკრიპტის გაშვებამდე. სწორედ ეს არის ის, რაც Xygeni Shield აკეთებს. Shield არის მსუბუქი აგენტი დეველოპერის საბოლოო წერტილზე, რომელიც ბლოკავს მავნე პაკეტებს ინსტალაციის დროს, გამოყენებით მავნე პროგრამების ადრეული გაფრთხილება (MEW) ვერდიქტები, რომლებიც ნებისმიერი ხელმოწერის არსებობამდე მოქმედებს. როდესაც ხელოვნური ინტელექტის ასისტენტი ჰალუცინირებულ დამოკიდებულებას გვთავაზობს და დეველოპერი გაუშვებს ინსტალაციაShield აფასებს პაკეტს მისი მიღებისთანავე და ბლოკავს მას: მავნე ინსტალაციის შემდგომი სკრიპტი არასდროს სრულდება და უსაფრთხოების გუნდი ხედავს მცდელობას სრული კონტექსტით.
რადგან MEW აფასებს პაკეტის ქცევას გამოქვეყნებისთანავე (ინსტალაციის დროს მოქმედებები, ქსელის გამოძახებები, დაბნევის ნიმუშები), Shield აფიქსირებს ზუსტად იმ ახალ, ჯერ არარსებულ ხელმოწერის პაკეტებს, რომლებზეც დამოკიდებულია slopsquatting, ასევე ბეჭდვის შეცდომებს, დამოკიდებულების დაბნეულობას და მხარდამჭერის კომპრომეტირებას. ყველა ბლოკი მიედინება იმავე Xygeni კონსოლში, როგორც თქვენი კოდი, ბილდი და გაშვების დროის დასკვნები, ამიტომ ახალი არ არის. dashboard და არანაირი ახალი მომწოდებელთან ურთიერთობა და Shield იმუშავებს თქვენი არსებული EDR-ის პარალელურად და არა მის წინააღმდეგ.
დაიწყეთ უფასოდ. Xygeni-ის დეველოპერის გეგმა 0 ევროა: 10 საცავი, თვეში 200 სკანირება, 5-მდე კონტრიბუტორი, საკრედიტო ბარათის გარეშე. Sign up with GitHub, GitLab ან Google და პირველი სკანირება 10 წუთზე ნაკლებ დროში განახორციელეთ; Shield-ის საბოლოო წერტილის დაცვა მალე დეველოპერების გეგმაშიც გამოჩნდება.
კითხვა-პასუხი
უსაქმურობის ჩაკვატინგი რეალური საფრთხეა თუ უბრალოდ თეორიული?
ეს რეალურია. მკვლევარ ბარ ლანიადოს მიერ 2023 წელს ჩატარებული კონცეფციის დამტკიცების კვლევაში ჰალუცინირებული სახელის ქვეშ ჩანაცვლებითი პაკეტი იყო წარმოდგენილი (ჩახუტება სახეზე - კლი) სამ თვეში 30 000-ზე მეტჯერ გადმოიტვირთა. USENIX Security 2025-ის კვლევამ აჩვენა, რომ ხელოვნური ინტელექტის მიერ რეკომენდებული პაკეტების 19.7% არ არსებობს და ამ ჰალუცინირებული სახელების 43% მეორდება სხვადასხვა მოთხოვნაში, რაც იმას ნიშნავს, რომ თავდამსხმელებს შეუძლიათ მათი პროგნოზირება და რეგისტრაცია.
რა განსხვავებაა უყურადღებო ჩაკვატირებასა და ტიპოსკვატირებას შორის?
Typosquatting იყენებს ადამიანის მიერ დაშვებულ შეცდომებს პოპულარული პაკეტების ორთოგრაფიული შეცდომების რეგისტრაციით (მოთხოვნები ამისთვის მოითხოვს). Slopsquatting იყენებს ხელოვნური ინტელექტის ჰალუცინაციებს დიდი ენობრივი მოდელების მიერ გამოგონილი სანდო, მაგრამ არასწორი პაკეტების სახელების რეგისტრაციით. ორივეს მიზანია დეველოპერის მოტყუება, რათა დააინსტალიროს მავნე პაკეტი, მაგრამ შეცდომა, რომელსაც ისინი იარაღად იყენებენ, განსხვავებულია.
შემიძლია ვენდო ხელოვნური ინტელექტის კოდირების ასისტენტებს დამოკიდებულებების შემოთავაზებაში?
არა გადამოწმების გარეშე. წამყვან კომერციულ მოდელებშიც კი, შემთხვევათა დაახლოებით 5%-ში, ჰალუცინაციები აღირიცხება არარსებული პაკეტებში, ხოლო ახალმა ანალიზმა აჩვენა, რომ მიმდინარე მოდელიდან დამოკიდებულების განახლების შემოთავაზებების თითქმის 28% ჰალუცინაციებით იყო გამოწვეული. ინსტალაციამდე ყოველთვის დარწმუნდით, რომ შემოთავაზებული პაკეტი ნამდვილად არსებობს და ლეგიტიმურია.
როგორ დავიცვა ჩემი კოდის ბაზა slopsquatting-ისგან?
ინსტალაციამდე გადაამოწმეთ ხელოვნური ინტელექტის მიერ შემოთავაზებული პაკეტები, აღმოაჩინეთ მავნე პროგრამები გამოქვეყნების დროს ქცევით, ხელმოწერის მოლოდინის ნაცვლად, დააყენეთ დამოკიდებულების firewall დეველოპერებსა და საჯარო რეესტრებს შორის და შეინარჩუნეთ თქვენს სისტემაში გაშვებული ხელოვნური ინტელექტის ინსტრუმენტებისა და აგენტების AI-BOM ინვენტარი. pipeline.




