Wat ass Slopsquatting? Et ass en Ugrëff wou béiswëlleg Akteuren déi exakt Paketnimm registréieren, déi KI-Programméierer halluzinéieren, dann dës Pakete mat Malware lueden a waarden, bis en Entwéckler se installéiert. Et ass kee Randfall. An enger Fuerschung, déi presentéiert gouf op USENIX Sécherheet 2025, 19.7% vun de Paketen, déi vun KI-Codéierungsmodeller iwwer 576,000 Codebeispiller recommandéiert goufen, hunn net existéiert, an d'Fuerscher hunn iwwer 205,000 eenzegaarteg halluzinéiert Nimm iwwer déi geteste Modeller protokolléiert.
Et ass wichteg ze verstoen, wat Slopsquatting ass (a wéi dat an der Praxis ausgesäit), well et net nëmmen eng KI-Magnitude ass. Slopsquatting ass den Nofollger aus der KI-Ära vun ... typosquatting, mat engem wichtegen Ënnerscheed: Typosquatting hänkt vum Tippfehler vun engem Mënsch of, während Slopsquatting vum Feeler vun engem Modell ofhänkt, deen virauszesoen genuch widderholl gëtt, fir datt en Ugräifer en a groussem Moossstaf ausnotze kann. Dëse Guide erkläert wat Slopsquatting ass, firwat et sech méi séier verbreet wéi Package Review et erkennen kann, wéi eng Risiken et mat sech bréngt, a wéi Organisatiounen et entdecken a verhënneren kënnen, ier et an d'Produktioun kënnt.
Slopsquatting Bedeitung: Definitioun #
Slopsquatting Bedeitung, formell: d'Praxis vun der Registréierung vun engem Paknumm, deen e grousst Sproochmodell halluzinéiert, en erfonnten Numm, deen plausibel kléngt, awer net an engem ëffentleche Register existéiert, an der Luedung mat béiswëllegem Code. ier en richtegen Entwéckler et op Basis vum Virschlag vun der KI installéiert.
Den Ausdrock erweidert de Konzept vum Typosquatting (d'Registréierung vun engem Paknumm, deen engem richtegen duerch eng heefeg Schreiffeeler imitéiert) op de spezifesche Feelermodus vun der generativer KI. Wou Typosquatting e Tippfehler vun engem Mënsch ausnotzt, notzt Slopsquatting en ... aus. Halluzinatioune vum KI-ModellnE Programméierassistent recommandéiert pip install oder npm install fir e Pak, deen et nach ni gouf, an en Ugräifer, deen deeselwechten erfonnten Numm bei verschiddene Prompts bemierkt huet, registréiert en als éischt.
"Slopsquatting" bedeit a praktescher Hisiicht dës: eng Attack an der Versuergungskette, déi de Feeler vun engem Modell an en funktionéierenden Exploit verwandelt, ouni datt e mënschleche Feeler ausser dem Vertrauen op d'Virschlag vun der KI néideg ass. Et ass net theoretesch. Ee eenzegt halluzinéiert Pak, dat 2023 als guttméigleche Test geplanzt gouf, huet an dräi Méint iwwer 30,000 Downloads ouni Promotioun ugezunn a bestätegt, datt béiswëlleg Varianten, déi genee dëst Muster ausnotzen, haut an ëffentleche Registere live sinn.
Slopsquatting vs. Typosquatting: Wat ass den Ënnerscheed? #
Slopsquatting an Typosquatting hunn datselwecht Resultat (en Entwéckler installéiert e béiswëllegt Pak a gleeft, datt et legitim ass), awer d'Quell vum Feeler ass kategorisch anescht.
Typosquatting hänkt vun engem mënschleche Tippfehler of: en Entwéckler wëll Ufroen aginn an tippt amplaz Ufroen, an en Ugräifer, deen dee falsch geschriwwenen Numm registréiert huet, waart. De Risiko ass op ee Tastendrock vum Entwéckler gebonnen, ee Moment vun Onopmierksamkeet.
Slopsquatting eliminéiert de mënschleche Feeler komplett a ersetzt en duerch e Modellfehler, deen sech a groussem Mooss bei all Entwéckler widderhëlt, deen eng ähnlech Prompt kritt. Eng Follow-up-Analyse huet festgestallt, datt wann d'Fuerscher identesch Prompts zéngmol nei duerchgefouert hunn, 43% vun den halluzinéierte Paketnimm bei all Laf opgetruede sinn, an 58% méi wéi eemol widderholl goufen. Dës Widderhuelbarkeet ass et, wat Slopsquatting ausnotzbar mécht: en Ugräifer muss en Tippfeeler net roden. Hie muss nëmmen observéieren, wéi en halluzinéierten Numm e Modell ëmmer erëm widderhëlt, a registréieren en, ier en richtegen Entwéckler et mécht.
Den gréissten Ënnerscheed ass d'Skala. E Pak mat Typosquatting waart op en Tippfehler. E Pak mat Slopsquatting waart op déiselwecht KI-generéiert Empfehlung, déi den nächsten Entwéckler erreecht, an deen duerno, an deen duerno, an all Organisatioun, déi datselwecht Modell benotzt.
Firwat Slopsquatting Spreads? #
Slopsquatting verbreet sech aus dem selwechte Grond wéi Typosquatting ëmmer: Attacker notzen e virauszesoen Muster aus, deem d'Entwéckler standardméisseg vertrauen. Wat nei ass, ass den Ëmfang vum Vertrauen.
Den Opstig vun KI-gestëtzter Programméierung, autonom Agenten, a "Vibe Coding" Workflows, wou Entwéckler ëmmer manner Code iwwerpréiwen ier se en ausféieren, huet d'Software-Attackfläch op zwou konkret Weeër verännert:
Den Ufankspunkt ass net méi nëmmen den Entwéckler. Eng Typosquatting-Attack hänkt vum Tippfehler vun enger Persoun of. Slopsquatting kann am Modell selwer entstoen an sech op Honnerte vu verschiddenen Entwéckler ausbreeden, déi ähnlech Froen stellen an déiselwecht halluzinéiert Empfehlung kréien, wouduerch d'Reechwäit vun enger eenzeger Attack multiplizéiert gëtt.
D'Attackfläch ass weider an der Kette eropgeréckelt. Et ass net méi genuch, de Code ze iwwerpréiwen, deen e Mënsch schreift. D'Teams mussen och d'Ofhängegkeeten iwwerwaachen, déi en KI-Assistent virschléit, d'MCP-Serveren, mat deenen e sech verbënnt, an d'Agenten, déi Paketen autonom installéieren, ouni direkt mënschlech Iwwerpréiwung. Traditionell AppSec, gebaut fir Repositories a mënschlech ... ze iwwerpréiwen commits, gouf ni entwéckelt fir dës nei Interaktioun tëscht Entwéckler, KI a Paketregistrierung ze observéieren, wou genau de Slopsquatting sech verstoppt.
Risiken vu Slopsquatting #
Slopsquatting schaaft Risiken iwwer verschidde Dimensiounen, déi sech géigesäiteg verschäerfen, an den Trend beschleunegt sech anstatt auszeschwiewen.
- Widderhuelbar Ausbeutung. Well halluzinéiert Nimm net zoufälleg sinn, taucht dee selwechte falschen Numm viraussobar iwwer Sessiounen a Modeller erëm op. Attacker brauche net ze roden; si mussen nëmmen d'Verhale vum Modell observéieren an d'Nimm registréieren, déi ëmmer erëm optrieden, wouduerch eng eenzeg Halluzinatioun an eng skalierbar, widderhuelbar Attack verwandelt gëtt.
- Agentesch Verbreedung. Slopsquatting beschränkt sech net méi drop, datt en Entwéckler e proposéierten Installatiounskommando kopéiert an asetzt. Am Januar 2026 hunn d'Fuerscher festgestallt, datt KI-Codéierungsagenten Instruktiounen, déi op e halluzinéierten NPM-Package verweisen, schonn iwwer 237 Repositories verdeelt hunn, an datt d'Agenten et ëmmer nach all Dag installéiere wollten, ouni datt e Mënsch am Spill war, fir de Feeler ze erkennen.
- Ausweichung vun Nimm-Ähnlechkeeten. Ongeféier 38% vun den halluzinéierten Nimm gläichen richtege Paketen, wat d'Chance reduzéiert, datt en Entwéckler d'Ersatz op ee Bléck gesäit. E béiswëllege Pak, deen ee Zeechen vun enger vertrauenswürdeger Ofhängegkeet ewech ass, gesäit net verdächteg aus; et gesäit aus wéi en Tippfeeler, deen Dir selwer maache géift.
- Persistent Belaaschtung no der Detektioun. E halluzinéierte Pak, deen e legitimen ESLint-Plugin ersat huet, huet nach ëmmer wöchentlech Downloads opgeholl, och nodeems d'Registrierung et ënner e Sécherheets-Hold gesat huet, wat beweist datt d'Fehlen vun engem slopsquatted Pak net direkt seng Installatioun verhënnert.
Wou sech Slopsquatting verstoppt #
Dee schwéiersten Deel vum Slopsquatting fir ze erkennen ass, datt et net wéi en Attack ausgesäit am Moment wou et geschitt; et gesäit aus wéi eng normal Pip-Installatioun oder NPM-Installatioun déi erfollegräich ofgeschloss gëtt, well de Pak wierklech existéiert soubal en Ugräifer en registréiert huet.
Slopsquatting trëtt typescherweis duerch:
- KI-Codéierungsassistenten a Kopiloten. Déi ursprénglech Suggestioun, en erfonnten Paknumm, deen niewent legitimem, funktionéierende Code presentéiert gëtt, ass wou d'Schwachstelle hierkënnt. Näischt um ëmleiende Code gesäit falsch aus, well dat ass et normalerweis net; nëmmen d'Ofhängegkeet ass gefälscht.
- Autonom Kodéierungsagenten. Agentesch Workflows, déi Ofhängegkeeten ouni mënschlech Iwwerpréiwung installéieren, ewechhuelen deen eenzege Checkpoint, en Entwéckler, deen pauséiert fir en Numm ze verifizéieren, deen soss e halluzinéiert Pak erwëscht géif, ier et e Projet erreecht.
- Pakmanager ouni Verifizéierungsschritt. Weder pip install nach npm install werft e Feeler aus, wann den Zilpaket existéiert a béiswëlleg ass. D'Installatioun gëtt normal ofgeschloss, well aus der Siicht vum Pakmanager näischt falsch ass.
Wéi een Slopsquatting entdeckt a verhënnert #
D'Verhënnerung vu Slopsquatting erfuerdert keng exotesch Tools. Et erfuerdert systematesch Uwendung vun Ofhängegkeetshygienepraktiken, déi scho existéieren, anstatt se ze relaxéieren, soubal eng KI de Code "virschléit".
Iwwerpréift all neit Pak ier Dir et installéiert, besonnesch eng, déi vun engem KI-Assistent virgeschloe gouf. Bestätegt, datt et am offiziellen Register existéiert, wien et verwalt, wéini et publizéiert gouf, an ob seng Downloadnummeren echt ausgesinn.
Gitt ni dovun aus, datt KI-generéierte Code standardméisseg sécher assCode deen "funktionéiert" heescht net datt seng Ofhängegkeeten legitim sinn. D'Iwwerpréiwung vun Ofhängegkeeten soll Deel vun der Code-Iwwerpréiwung sinn, net eng Ausnam dovun.
Deployéiert Ofhängegkeetsscannungen, déi Risikomuster iwwer bekannte CVEs eraus identifizéieren: anormal Paketen, Nimm déi verdächteg ähnlech wéi existent sinn, nei Maintainer ouni Erfolleg oder Installatioun vu Skripter mat ongewéinleche Verhalen.
AI-SPM als Governance-Schicht uwenden. KI Security Posture Management ass déi Praxis, déi entwéckelt gouf, fir genau dës Zort vun KI-agefouertem Risiko a groussem Ëmfang ze erkennen, andeems se kontinuéierlech KI-virgeschloe Ofhängegkeeten entdeckt a bewäert, ier e Mënsch sech jee drun erënnere muss, se manuell ze kontrolléieren.
Sécherung géint Slopsquatting mat Xygeni #
Slopsquatting kann net eleng duerch Wachsamkeet vun den Entwéckler verhënnert ginn. Eng Politik, déi seet "all vun der KI virgeschloe Pakett iwwerpréift" funktionéiert net an enger Organisatioun, wou Ofhängegkeetsvirschléi méi séier ukommen, wéi all mënschleche Bewäertungsprozess mathale kann.
Xygeni's Approche behandelt dëst als e kontinuéierlecht Detektiounsproblem: KI Inventar an AI BOM all KI-agefouerten Opdeckung Ofhängegkeet iwwerall SDLC, wat den Équipen eng lieweg Opzeechnung gëtt vun deem, wat en KI-Assistent tatsächlech virgeschloen an installéiert huet. Xygeni Shield, ugedriwwe vun MEW (Malware Fréiwarnung), erkennt a blockéiert béiswëlleg Paketen, dorënner och slopsquatted, ier eng Signatur existéiert, a schléisst domat genau déi Lück zou, déi signaturbaséiert Scanner oploossen.
Wann Är Équipen KI-Programméierassistenten benotzen, ass de Problem vum Slopsquatting scho präsent. D'Fro ass, ob den nächste halluzinéierten Numm erwëscht gëtt, ier en installéiert gëtt.

FAQ #
Slopsquatting ass eng Versuergungsketteattack, bei där béiswëlleg Akteuren déi exakt net-existent Paketnimm registréieren, déi KI-Codéierungsassistenten ëmmer erëm halluzinéieren, a se mat Malware lueden, ier en Entwéckler eng op Basis vum Virschlag vun der KI installéiert.
Attacker observéieren, wéi eng Paketnimm KI-Modeller ëmmer erëm halluzinéieren, a registréieren dann genau dës Nimm mat béiswëllege Code, ier en echte Entwéckler et mécht. Well den halluzinéierten Numm virausgesot iwwer Ufroen a Sessiounen erëm optrieden, kann een eenzegt registréiert slopsquatted Paket all Entwéckler erreechen, deen eng ähnlech KI-Virschlag kritt, wouduerch ee Modell-Quik an eng skalierbar Attack iwwer eng ganz Benotzerbasis verwandelt gëtt.
Effektiv Detektioun bedeit, datt vun der KI virgeschloe Ofhängegkeeten als eng separat Risikokategorie behandelt ginn, net als en Ënnerdeel vun den normalen Open-Source-Ofhängegkeeten. Dëst erfuerdert eng Iwwersiicht iwwer dat, wat KI-Codéierungsassistenten an -Agenten tatsächlech virschloen an installéieren, vergläichbar mat Registrierungsdaten (Verëffentlechungsdatum, Maintenance-Verlaf, Downloadmuster) an eng verhalensbaséiert Malware-Detektioun, anstatt sech eleng op signaturbaséiert Scannen ze verloossen.