Apakah itu duduk terbongkok? Ia adalah serangan di mana pelaku berniat jahat mendaftarkan nama pakej tepat yang dikhayalkan oleh pembantu pengekodan AI, kemudian memuatkan pakej tersebut dengan perisian hasad dan menunggu pembangun memasangnya. Ia bukanlah kes pinggir. Dalam kajian yang dibentangkan di Keselamatan USENIX 2025, 19.7% daripada pakej yang disyorkan oleh model pengekodan AI merentasi 576,000 sampel kod tidak wujud, dan penyelidik mencatatkan lebih 205,000 nama halusinasi unik merentasi model yang diuji.
Memahami apa itu slopsquatting (dan bagaimana maksud slopsquatting dalam praktiknya) penting kerana ia bukan sekadar kebiasaan AI. Slopsquatting ialah pengganti era AI kepada typosquatting, dengan satu perbezaan kritikal: typosquatting bergantung pada kesilapan menaip manusia, manakala slopsquatting bergantung pada kesilapan model, diulang dengan cukup boleh diramal untuk penyerang mengeksploitasinya secara besar-besaran. Panduan ini menerangkan apa itu slopsquatting, mengapa ia merebak lebih cepat daripada yang dapat dikesan oleh semakan pakej, risiko yang ditimbulkannya dan bagaimana organisasi boleh menemui dan mencegahnya sebelum ia mencapai pengeluaran.
Maksud Slopsquatting: Definisi #
Maksud slopsquatting, secara formal: amalan mendaftarkan nama pakej yang dikhayalkan oleh model bahasa yang besar, nama yang direka-reka yang kedengaran munasabah tetapi tidak wujud dalam mana-mana pendaftaran awam, dan memuatkannya dengan kod berniat jahat sebelum pembangun sebenar memasangnya berdasarkan cadangan AI.
Istilah ini memperluas konsep typosquatting (mendaftarkan nama pakej yang meniru nama sebenar melalui salah ejaan biasa) kepada mod kegagalan khusus AI generatif. Di mana typosquatting mengeksploitasi kesilapan taip manusia, slopsquatting mengeksploitasi Halusinasi model AIn: pembantu pengekod mengesyorkan pip install atau npm install untuk pakej yang tidak pernah wujud, dan penyerang yang perasan nama ciptaan yang sama berulang merentasi gesaan akan mendaftarkannya terlebih dahulu.
Maksud "slopsquatting", secara praktikalnya, adalah seperti berikut: serangan rantaian bekalan yang mengubah kesilapan model menjadi eksploitasi yang berkesan, tanpa memerlukan kesilapan manusia selain mempercayai cadangan AI. Ia bukanlah teori. Satu pakej halusinasi, yang ditanam sebagai ujian jinak pada tahun 2023, telah menarik lebih 30,000 muat turun dalam tempoh tiga bulan tanpa sebarang promosi dan mengesahkan bahawa varian berniat jahat yang mengeksploitasi corak yang tepat ini berada dalam daftar awam hari ini.
Slopsquatting vs Typosquatting: Apakah Perbezaannya? #
Slopsquatting dan typosquatting berkongsi hasil yang sama (pembangun memasang pakej berniat jahat dengan mempercayai ia sah), tetapi sumber ralat adalah berbeza sama sekali.
Typosquatting bergantung pada kesilapan menaip manusia: pembangun bermaksud menaip permintaan dan menaip reqeusts sebaliknya, dan penyerang yang mendaftarkan nama yang salah eja itu sedang menunggu. Risiko terikat pada ketukan kekunci seorang pembangun, satu saat tidak memberi perhatian.
Slopsquatting menghapuskan ralat manusia sepenuhnya dan menggantikannya dengan ralat model, yang berulang secara berskala merentasi setiap pembangun yang menerima gesaan yang serupa. Analisis susulan mendapati bahawa apabila penyelidik menjalankan semula gesaan yang sama sepuluh kali setiap satu, 43% nama pakej halusinasi muncul pada setiap larian, dan 58% berulang lebih daripada sekali. Kebolehulangan itulah yang menjadikan slopsquatting boleh dieksploitasi: penyerang tidak perlu meneka kesalahan taip. Mereka hanya perlu memerhatikan nama halusinasi yang terus diulang oleh model dan mendaftarkannya sebelum pembangun sebenar melakukannya.
Perbezaan terbesar ialah skala. Pakej yang tersilap taip menunggu kemalangan menaip. Pakej yang tersilap taip menunggu cadangan yang dijana AI yang sama untuk sampai kepada pembangun seterusnya, dan yang selepas itu, dan yang selepas itu, merentasi setiap organisasi yang menggunakan model yang sama.
Mengapa Perlukan Hamparan Slopsquatting? #
Slopsquatting berleluasa atas sebab yang sama typosquatting sentiasa ada: penyerang mengeksploitasi corak yang boleh diramal yang dipercayai oleh pembangun secara lalai. Apa yang baharu ialah skala kepercayaan.
Kebangkitan pengekodan berbantukan AI, ejen autonomi dan aliran kerja "pengekodan getaran", yang mana pembangun semakin kurang menyemak kod sebelum menjalankannya, telah mengubah permukaan serangan perisian dalam dua cara yang konkrit:
Titik masuk bukan lagi sekadar pembangun. Serangan typosquatting bergantung pada kesilapan menaip seseorang. Slopsquatting boleh berasal dari dalam model itu sendiri dan merebak kepada ratusan pembangun berbeza yang menanyakan soalan yang serupa dan menerima cadangan halusinasi yang sama, mendarabkan jangkauan satu serangan.
Permukaan serangan telah bergerak lebih jauh ke atas rantaian. Ia tidak lagi mencukupi untuk menyemak kod yang ditulis oleh manusia. Pasukan juga perlu memerhatikan kebergantungan yang dicadangkan oleh pembantu AI, pelayan MCP yang disambungkannya, dan ejen yang memasang pakej secara autonomi tanpa semakan langsung oleh manusia. AppSec tradisional, dibina untuk menyemak repositori dan manusia commits, tidak pernah direka untuk memerhatikan interaksi baharu ini antara pembangun, AI dan pendaftaran pakej, yang merupakan tempat persembunyian aktiviti tidak terurus.
Risiko Slopsquatting #
Melakukan aktiviti tidak tertib mewujudkan risiko merentasi dimensi yang saling menggabungkan antara satu sama lain, dan trend ini semakin pantas dan bukannya lenyap begitu sahaja.
- Eksploitasi yang boleh diulang. Oleh kerana nama yang dikhayalkan tidak rawak, nama palsu yang sama muncul semula secara boleh diramal merentasi sesi dan model. Penyerang tidak perlu meneka; mereka hanya perlu memerhatikan tingkah laku model dan mendaftarkan nama yang terus berulang, mengubah halusinasi sekali sahaja menjadi serangan yang boleh diskala dan berulang.
- Pembiakan agentik. Slopsquatting tidak lagi terhad kepada pembangun yang menyalin dan menampal arahan pemasangan yang dicadangkan. Pada Januari 2026, para penyelidik mendapati bahawa ejen pengekodan AI telah menyebarkan arahan yang merujuk kepada pakej npm yang dikhayalkan merentasi 237 repositori, dengan ejen masih cuba memasangnya setiap hari, tanpa manusia yang dapat mengesan kesilapan tersebut.
- Pengelakan persamaan nama. Kira-kira 38% daripada nama yang dikhayalkan menyerupai pakej sebenar, sekali gus mengurangkan kemungkinan pembangun dapat melihat penggantian tersebut dengan pantas. Pakej berniat jahat yang memisahkan satu aksara daripada kebergantungan yang dipercayai tidak kelihatan mencurigakan; ia kelihatan seperti salah taip yang anda buat sendiri.
- Pendedahan berterusan selepas pengesanan. Satu pakej halusinasi yang menggantikan pemalam ESLint yang sah masih merekodkan muat turun mingguan walaupun selepas pendaftaran meletakkannya di bawah sekatan keselamatan, bukti bahawa menandai pakej yang tidak berfungsi dengan betul tidak serta-merta menghalangnya daripada dipasang.
Tempat Slopsquatting Menyembunyikan #
Bahagian paling sukar untuk dikesan bagi slopsquatting ialah ia tidak kelihatan seperti serangan pada saat ia berlaku; ia kelihatan seperti pemasangan pip atau pemasangan npm biasa yang berjaya diselesaikan, kerana pakej tersebut benar-benar wujud sebaik sahaja penyerang mendaftarkannya.
Slopsquatting biasanya masuk melalui:
- Pembantu dan juruterbang pengekodan AI. Cadangan awal, nama pakej yang dicipta yang dibentangkan bersama kod yang sah dan berfungsi, adalah asal usul kerentanan. Tiada apa-apa tentang kod di sekelilingnya yang kelihatan salah, kerana biasanya tidak; hanya kebergantungannya yang palsu.
- Ejen pengekodan autonomi. Aliran kerja ejen yang memasang kebergantungan tanpa semakan manusia mengalih keluar satu pusat pemeriksaan, iaitu pembangun yang berhenti seketika untuk mengesahkan nama, yang sebaliknya akan menangkap pakej halusinasi sebelum ia sampai ke projek.
- Pengurus pakej tanpa langkah pengesahan. Baik pip install mahupun npm install tidak akan menghasilkan ralat apabila pakej sasaran wujud dan berniat jahat. Pemasangan selesai seperti biasa kerana, dari perspektif pengurus pakej, tiada apa yang salah.
Cara Menemui dan Mencegah Slopsquatting #
Mencegah perbuatan terburu-buru tidak memerlukan peralatan eksotik. Ia memerlukan penerapan amalan kebersihan kebergantungan yang sedia ada, secara sistematik, dan bukannya melonggarkannya sebaik sahaja AI "mencadangkan" kod tersebut.
Sahkan sebarang pakej baharu sebelum memasangnya, terutamanya yang dicadangkan oleh pembantu AI. Sahkan ia wujud dalam daftar rasmi, siapa yang menyelenggaranya, bila ia diterbitkan dan sama ada nombor muat turunnya kelihatan tulen.
Jangan sekali-kali menganggap kod yang dijana AI selamat secara lalaiKod yang "berfungsi" tidak bermakna kebergantungannya sah. Semakan kebergantungan harus menjadi sebahagian daripada semakan kod, bukan pengecualian kepadanya.
Gunakan pengimbasan kebergantungan yang menandakan corak risiko di luar CVE yang diketahui: pakej anomali, nama yang mencurigakan serupa dengan yang sedia ada, penyelenggara baharu tanpa rekod prestasi atau memasang skrip dengan tingkah laku luar biasa.
Gunakan AI-SPM sebagai lapisan tadbir urus. Pengurusan Postur Keselamatan AI ialah amalan yang direka untuk mengesan risiko yang diperkenalkan oleh AI jenis ini secara berskala besar, terus menemui kebergantungan yang dicadangkan oleh AI dan menjaringkannya sebelum manusia perlu ingat untuk menyemak secara manual.
Melindungi Diri Daripada Slopsquatting Dengan Xygeni #
Kecuaian pembangun tidak dapat dicegah hanya dengan kewaspadaan pembangun. Dasar yang menyatakan "sahkan setiap pakej yang dicadangkan oleh AI" tidak berskala merentasi organisasi yang cadangan kebergantungan tiba lebih cepat daripada yang dapat ditandingi oleh sebarang proses semakan manusia.
Xygeni's pendekatan menganggap ini sebagai masalah pengesanan berterusan: Inventori AI dan AI BOM permukaan setiap AI yang diperkenalkan kebergantungan merentasi SDLC, memberikan pasukan rekod langsung tentang apa yang sebenarnya telah dicadangkan dan dipasang oleh pembantu AI. Xygeni Shield, dikuasakan oleh MEW (Amaran Awal Perisian Hasad), mengesan dan menyekat pakej berniat jahat, termasuk yang tidak kemas, sebelum tandatangan wujud, menutup jurang yang dibiarkan terbuka oleh pengimbas berasaskan tandatangan.
Jika pasukan anda menggunakan pembantu pengekodan AI, masalah slopsquatting sudah wujud. Persoalannya ialah sama ada nama halusinasi seterusnya dikesan sebelum ia dipasang.

Soalan Lazim #
Slopsquatting ialah serangan rantaian bekalan di mana pelaku berniat jahat mendaftarkan nama pakej yang tidak wujud yang berulang kali dikhayalkan oleh pembantu pengekodan AI, memuatkannya dengan perisian hasad sebelum pembangun memasangnya berdasarkan cadangan AI.
Penyerang memerhatikan nama pakej yang model AI berhalusinasi berulang kali, kemudian mendaftarkan nama tepat tersebut dengan kod berniat jahat sebelum pembangun sebenar melakukannya. Oleh kerana nama yang berhalusinasi berulang seperti yang dijangka merentasi gesaan dan sesi, satu pakej berdaftar yang tidak sepadan boleh sampai ke setiap pembangun yang menerima cadangan AI yang serupa, mengubah satu keanehan model menjadi serangan berskala merentasi seluruh pangkalan pengguna.
Penemuan yang berkesan bermaksud menganggap kebergantungan yang dicadangkan oleh AI sebagai kategori risiko yang berbeza, bukan subset kebergantungan sumber terbuka biasa. Ini memerlukan keterlihatan tentang apa yang sebenarnya dicadangkan dan dipasang oleh pembantu dan ejen pengekodan AI, dirujuk silang terhadap data pendaftaran (tarikh penerbitan, sejarah penyelenggara, corak muat turun) dan pengesanan malware berasaskan tingkah laku, dan bukannya bergantung pada pengimbasan berasaskan tandatangan sahaja.