Слопскваттинг гэж юу вэ? Энэ бол халдлага хортой этгээдүүд хиймэл оюун ухааны код бичих туслахуудын хий үзэгдэл мэт харагддаг багцын нэрийг яг таг бүртгэж, дараа нь тэдгээр багцуудыг хортой програмаар ачаалж, хөгжүүлэгч суулгахыг хүлээдэг. Энэ нь захын тохиолдол биш юм. Судалгаанд танилцуулсан. USENIX Аюулгүй байдал 2025, 576,000 кодын дээжинд хиймэл оюун ухааны кодчилолын загваруудын санал болгосон багцуудын 19.7% нь байхгүй байсан бөгөөд судлаачид туршсан загваруудад 205,000 гаруй өвөрмөц хий үзэгдэлтэй нэрийг бүртгэжээ.
Слопскваттинг гэж юу болохыг (мөн практик дээр слопскваттинг гэдэг нь ямар утгатай болохыг) ойлгох нь чухал, учир нь энэ нь зүгээр нэг хиймэл оюун ухааны онцлог биш юм. Слопскваттинг бол хиймэл оюун ухааны эриний залгамжлагч юм. үсгийн алдаа, нэг чухал ялгаатай: typoskvotting нь хүний бичгийн алдаанаас хамаардаг бол slopskvotting нь загварын алдаанаас хамаардаг бөгөөд халдагч үүнийг өргөн хүрээнд ашиглахад хангалттай давтагддаг. Энэхүү гарын авлагад slopskvotting гэж юу болох, яагаад багцын хяналтаас илүү хурдан тархдаг, ямар эрсдэл үүсгэдэг, мөн байгууллагууд үйлдвэрлэлд хүрэхээс өмнө хэрхэн илрүүлж, урьдчилан сэргийлэх боломжтойг тайлбарласан болно.
Налуу гулгалтын утга: Тодорхойлолт #
Слопскваттинг гэдэг нь албан ёсоор: том хэлний загвар хий үзэгдэл мэт харагдуулдаг багцын нэрийг бүртгэж, ямар ч нийтийн бүртгэлд байдаггүй зохиомол нэрийг бүртгэж, хортой кодоор ачаалах дадал юм. жинхэнэ хөгжүүлэгч хиймэл оюун ухааны санал болгосны дагуу суулгахаас өмнө.
Энэ нэр томьёо нь typosquatting (жинхэнэ нэрийг нийтлэг алдаагаар дуурайлган багцын нэрийг бүртгэх) гэсэн ойлголтыг үүсгэгч хиймэл оюун ухааны тодорхой алдааны горимд өргөжүүлдэг. Typosquatting нь хүний бичгийн алдааг ашигладаг бол slopsquatting нь ... ашигладаг. Хиймэл оюун ухааны загварын хий үзэгдэлnКод бичих туслах нь хэзээ ч байгаагүй багцын хувьд pip install эсвэл npm install гэж зөвлөж байгаа бөгөөд ижил зохиомол нэр мөрүүд дээр давтагдаж байгааг анзаарсан халдагч үүнийг эхлээд бүртгэдэг.
Практик утгаараа "slopsquatting" гэдэг нь загварын алдааг ажиллаж буй луйвар болгон хувиргадаг хангамжийн сүлжээний халдлага бөгөөд хиймэл оюун ухааны саналд итгэхээс өөр хүний алдаа шаардлагагүй юм. Энэ нь онолын хувьд биш юм. 2023 онд хоргүй туршилт болгон тарьсан ганц хий үзэгдэлтэй багц гурван сарын хугацаанд 30,000 гаруй удаа татагдсан бөгөөд ямар ч сурталчилгаа хийгээгүй бөгөөд яг энэ хэв маягийг ашигладаг хортой хувилбарууд өнөөдөр олон нийтийн бүртгэлд байгааг баталсан.
Слопскваттинг ба Типоскваттинг: Ялгаа нь юу вэ? #
Slopsquatting болон typosquatting нь ижил үр дүнд хүргэдэг (хөгжүүлэгч нь хортой багцыг хууль ёсны гэж итгэн суулгадаг) боловч алдааны эх үүсвэр нь эрс өөр юм.
Бичих алдаа нь хүний бичих алдаанаас хамаарна: хөгжүүлэгч нь хүсэлтүүдийг бичиж, оронд нь reqeusts гэж бичдэг бөгөөд буруу бичсэн нэрийг бүртгэсэн халдагч хүлээж байдаг. Эрсдэл нь нэг хөгжүүлэгчийн товчлуурын даралт, нэг удаагийн анхааралгүй байдлаас хамаарна.
Slopsquatting нь хүний алдааг бүрэн арилгаж, загварын алдаагаар сольдог бөгөөд энэ нь ижил төстэй хүсэлт хүлээн авсан хөгжүүлэгч бүрт давтагддаг алдаа юм. Дараагийн шинжилгээгээр судлаачид ижил хүсэлтийг арав дахин ажиллуулахад хий үзэгдэлтэй багцын нэрсийн 43% нь нэг удаагийн оролдлого бүрт гарч ирдэг бөгөөд 58% нь нэгээс олон удаа давтагддаг болохыг тогтоожээ. Энэхүү давтагдах байдал нь slopsquatting-ийг ашиглах боломжтой болгодог зүйл юм: халдагч алдааг таах шаардлагагүй. Тэд зөвхөн загвар ямар хий үзэгдэлтэй нэрийг давтаж байгааг ажиглаж, жинхэнэ хөгжүүлэгчээс өмнө бүртгүүлэх хэрэгтэй.
Хамгийн том ялгаа нь масштаб юм. Бичгийн алдаатай багц нь бичих ослыг хүлээдэг. Slopsquatted багц нь хиймэл оюун ухаанаар үүсгэгдсэн ижил зөвлөмжийг дараагийн хөгжүүлэгчид, түүний дараагийн хөгжүүлэгчид, мөн ижил загварыг ашигладаг байгууллага бүрт хүрэхийг хүлээдэг.
Яагаад Slopsquatting тархалт хэрэгтэй вэ? #
Хакерууд хөгжүүлэгчид анхдагчаар итгэдэг урьдчилан таамаглах боломжтой хэв маягийг ашигладаг гэсэн шалтгаанаар Slopsquatting нь түгээмэл болж байна. Шинэ зүйл бол итгэлцлийн цар хүрээ юм.
Хиймэл оюун ухааны тусламжтайгаар код бичих нь нэмэгдэж байна, бие даасан агентууд болон хөгжүүлэгчид кодыг ажиллуулахаасаа өмнө бага багаар хянадаг "vibe coding" ажлын урсгалууд нь програм хангамжийн халдлагын гадаргууг хоёр тодорхой аргаар өөрчилсөн:
Оролт цэг нь зөвхөн хөгжүүлэгч байхаа больсон. Бичих алдааны дайралт нь нэг хүний бичгийн алдаанаас хамаарна. Slopsquatting нь загвар дотроос үүсч, ижил төстэй асуулт асууж, ижил хий үзэгдэлтэй зөвлөмж хүлээн авдаг хэдэн зуун өөр хөгжүүлэгчдэд тархаж, ганц халдлагын цар хүрээг үржүүлж болно.
Халдлагын гадаргуу нь гинжин хэлхээний дагуу цааш хөдөлсөн. Хүний бичсэн кодыг хянах нь хангалтгүй болсон. Багууд мөн хиймэл оюун ухааны туслахын санал болгож буй хамаарлууд, түүний холбосон MCP серверүүд, мөн хүний шууд хяналтгүйгээр багцуудыг бие даан суулгадаг агентуудыг хянах шаардлагатай. Уламжлалт AppSec нь репозитор болон хүний мэдээллийг хянах зориулалттай. commits нь хөгжүүлэгч, хиймэл оюун ухаан болон багцын бүртгэлийн хоорондох энэхүү шинэ харилцан үйлчлэлийг ажиглахаар хэзээ ч бүтээгдээгүй бөгөөд яг энэ хэсэгт slopsquatting нуугдаж байдаг.
Налуу зам дээр гулгах эрсдэлүүд #
Налуу байрлалтай суулт нь бие биенээ нөхөж буй хэмжээсүүдэд эрсдэл үүсгэдэг бөгөөд энэ чиг хандлага алга болохын оронд хурдасч байна.
- Давтагдах боломжтой ашиглалт. Галлюцинациятай нэрс санамсаргүй биш тул ижил хуурамч нэр нь сесс болон загваруудад урьдчилан таамаглахуйц байдлаар дахин гарч ирдэг. Халдагчид таах шаардлагагүй; тэд зөвхөн загварын зан төлөвийг ажиглаж, давтагддаг нэрсийг бүртгэх хэрэгтэй бөгөөд энэ нь нэг удаагийн галлюцинацияг өргөтгөх боломжтой, давтагдах боломжтой халдлага болгон хувиргадаг.
- Агентлаг тархалт. Слопскваттинг нь хөгжүүлэгч санал болгосон суулгах командыг хуулж буулгахаар хязгаарлагдахаа больсон. 2026 оны 1-р сард судлаачид хиймэл оюун ухааны кодчилолын агентууд хий үзэгдэлтэй npm багцыг лавлах зааврыг 237 репозиторт тараасан бөгөөд агентууд үүнийг өдөр бүр суулгахыг оролдсоор байгаа бөгөөд алдааг олж мэдэх хүн байхгүй байгааг тогтоожээ.
- Нэрний ижил төстэй байдлаас зайлсхийх. Галлюцинациятай нэрсийн ойролцоогоор 38% нь жинхэнэ багцуудтай маш төстэй байдаг нь хөгжүүлэгч орлуулалтыг нэг хараад л анзаарах магадлалыг бууруулдаг. Найдвартай хамаарлаас нэг тэмдэгтээр дутуу байгаа хортой багц нь сэжигтэй харагдахгүй; энэ нь таны өөрөө бичсэн алдаа шиг харагдаж байна.
- Илрүүлсний дараа байнга өртөх. Хууль ёсны ESLint залгаасыг орлосон хий үзэгдэлтэй багц нь бүртгэлээс аюулгүй байдлын хамгаалалтад авсны дараа ч долоо хоног бүр татан авалтыг бүртгэсээр байсан бөгөөд slopsquated багцыг тэмдэглэх нь түүнийг суулгахаас шууд зогсоодоггүй гэсэн нотолгоо юм.
Хажуу тийшээ гулгах нь хаана нуугдаж байна #
Slopsquatting-ийн барихад хамгийн хэцүү хэсэг нь халдлага болсон үед халдлага шиг харагдахгүй байх явдал юм; энэ нь ердийн pip суулгалт эсвэл npm суулгалт амжилттай дууссан мэт харагддаг, учир нь халдагч бүртгүүлсний дараа багц үнэхээр оршдог.
Слопскваттинг нь ихэвчлэн дараах байдлаар ордог:
- Хиймэл оюун ухааны код бичих туслахууд болон хамтран нисгэгчид. Анхны санал бол, хууль ёсны, ажиллаж буй кодын хажууд байрлуулсан зохиомол багцын нэр нь эмзэг байдал үүссэн газар юм. Эргэн тойрон дахь кодын талаар юу ч буруу харагдахгүй байна, учир нь энэ нь ихэвчлэн тийм биш; зөвхөн хамаарал нь хуурамч байдаг.
- Автономит кодлох агентууд. Хүний хяналтгүйгээр хамаарлыг суулгадаг агентын ажлын урсгалууд нь нэг шалгах цэгийг арилгадаг бөгөөд энэ нь хөгжүүлэгч нэрийг баталгаажуулахын тулд түр зогсдог бөгөөд өөрөөр бол төсөлд хүрэхээс өмнө хий үзэгдэлтэй багцыг илрүүлэх болно.
- Баталгаажуулах алхамгүй багц менежерүүд. Зорилтот багц байгаа бөгөөд хортой үед pip install болон npm install аль нь ч алдаа гаргадаггүй. Суулгалт хэвийн явагддаг, учир нь багцын менежерийн үүднээс авч үзвэл ямар ч асуудал байхгүй.
Слопскваттингийг хэрхэн илрүүлж, урьдчилан сэргийлэх вэ #
Слопскваттингээс урьдчилан сэргийлэхийн тулд өвөрмөц багаж хэрэгсэл шаардлагагүй. Энэ нь хиймэл оюун ухаан кодыг "санал болгох" мөчид сулруулахын оронд аль хэдийн оршин тогтнож буй хамаарлын эрүүл ахуйн дадлыг системтэйгээр хэрэгжүүлэхийг шаарддаг.
Суулгахаасаа өмнө шинэ багцыг шалгана уу, ялангуяа хиймэл оюун ухааны туслахын санал болгосон. Албан ёсны бүртгэлд байгаа эсэхийг, хэн хадгалж байгааг, хэзээ нийтлэгдсэнийг, татаж авах дугаар нь жинхэнэ эсэхийг баталгаажуулна уу.
Хиймэл оюун ухаанаар үүсгэгдсэн кодыг анхдагчаар аюулгүй гэж хэзээ ч бүү бод"Ажилладаг" код нь түүний хамаарлууд хууль ёсны гэсэн үг биш юм. Хамаарлын хяналт нь кодын хяналтад үл хамаарах зүйл биш, харин түүний нэг хэсэг байх ёстой.
Мэдэгдэж буй CVE-үүдээс гадна эрсдэлийн хэв маягийг тэмдэглэдэг хамаарлын сканнерыг байршуулах: хэвийн бус багцууд, одоо байгаа багцуудтай сэжигтэй төстэй нэрс, ямар ч бүртгэлгүй шинэ засварчид, эсвэл ер бусын зан төлөвтэй суулгалтын скриптүүд.
AI-SPM-ийг удирдлагын давхарга болгон ашиглах. Хиймэл оюун ухааны аюулгүй байдлын байрлалын менежмент нь яг энэ төрлийн хиймэл оюун ухаанаар нэвтрүүлсэн эрсдэлийг хэмжээнд нь барьж, хиймэл оюун ухааны санал болгож буй хамаарлуудыг тасралтгүй илрүүлж, хүн гараар шалгахаа санахаас өмнө оноо авах зорилготой дадлага юм.
Xygeni ашиглан налуу зам дээр суухаас хамгаалах #
Хөгжүүлэгчийн сонор сэрэмжээр л Slopsquatting-ийг зогсоох боломжгүй. "Хиймэл оюун ухааны санал болгосон багц бүрийг баталгаажуул" гэсэн бодлого нь хүний хяналтын үйл явцаас илүү хурдан хамааралтай санал ирдэг байгууллагад хамаарахгүй.
Xygeni's арга нь үүнийг тасралтгүй илрүүлэх асуудал гэж үздэг: хиймэл оюун ухааны бараа материал болон Хиймэл оюун ухаант БОМ хиймэл оюун ухааны нэвтрүүлсэн бүрийг гадарлах даяарх хамаарал SDLC, багуудад хиймэл оюун ухааны туслах юу санал болгож, суулгасан талаарх амьд бүртгэлийг өгдөг. Xygeni Shield, -аар дэмжигдсэн MEW (Хортой програм хангамжийн эрт анхааруулга), гарын үсэг үүсэхээс өмнө slopsquated багцуудыг оролцуулан хортой багцуудыг илрүүлж, хааж, гарын үсэгт суурилсан сканнерууд онгойлгосон зайг яг таг хаадаг.
Хэрэв танай багууд хиймэл оюун ухааны код бичих туслахуудыг ашиглаж байгаа бол slopsquatting асуудал аль хэдийн үүссэн байна. Асуулт нь дараагийн хий үзэгдэлтэй нэр суулгагдахаас өмнө баригддаг эсэхэд оршино.

тусламж #
Слопскваттинг гэдэг нь нийлүүлэлтийн сүлжээний халдлага бөгөөд хортой этгээдүүд хиймэл оюун ухааны код бичих туслахууд дахин дахин хий үзэгдэл үзүүлдэг яг байхгүй багцын нэрийг бүртгэж, хөгжүүлэгч хиймэл оюун ухааны санал болгосны дагуу нэгийг суулгахаас өмнө тэдгээрийг хортой програмаар ачаалдаг.
Халдагчид хиймэл оюун ухааны загварууд ямар багцын нэрсийг дахин дахин хий үзэгдэл хардгийг ажиглаж, дараа нь жинхэнэ хөгжүүлэгч хий үзэгдэл харагдуулахаас өмнө тэдгээр нэрийг хортой кодоор бүртгэдэг. Хий үзэгдэл харагдсан нэр нь команд болон сессүүдэд урьдчилан таамаглаж болохуйц давтагддаг тул нэг бүртгэгдсэн slopsquatted багц нь ижил төстэй хиймэл оюун ухааны санал хүлээн авсан хөгжүүлэгч бүрт хүрч, нэг загварын хачин зүйлийг бүхэл бүтэн хэрэглэгчийн бааз даяар өргөжүүлэх боломжтой халдлага болгон хувиргадаг.
Үр дүнтэй илрүүлэлт гэдэг нь хиймэл оюун ухааны санал болгосон хамаарлыг ердийн нээлттэй эхийн хамаарлын дэд хэсэг биш харин тусдаа эрсдэлийн ангилал гэж үзэхийг хэлнэ. Энэ нь зөвхөн гарын үсэг дээр суурилсан сканнердахаас илүүтэй хиймэл оюун ухааны код бичих туслахууд болон агентууд юу санал болгож, суулгаж байгааг харах боломжийг шаарддаг бөгөөд бүртгэлийн өгөгдөл (нийтлэгдсэн огноо, засвар үйлчилгээний түүх, татаж авах хэв маяг) болон зан төлөвт суурилсан хортой програм хангамж илрүүлэлттэй харьцуулсан болно.