په یو ځای کې کښېناستل څه شی دی؟ دا یو برید دی. په کوم کې چې ناوړه لوبغاړي د پیکجونو دقیق نومونه ثبتوي چې د AI کوډ کولو مرستیالان یې وهم کوي، بیا دا پیکجونه د مالویر سره باروي او د پراختیا کونکي لپاره د دوی نصبولو ته انتظار باسي. دا یو څنډه قضیه نه ده. په څیړنه کې وړاندې شوې د USENIX امنیت ۲۰۲۵، د ۵۷۶،۰۰۰ کوډ نمونو په اوږدو کې د مصنوعي ذهانت کوډ کولو ماډلونو لخوا وړاندیز شوي ۱۹.۷٪ کڅوړې شتون نه درلودې، او څیړونکو د ازمول شوي ماډلونو په اوږدو کې له ۲۰۵،۰۰۰ څخه ډیر ځانګړي وهمي نومونه ثبت کړل.
د سلپسکواټینګ په اړه پوهیدل (او په عمل کې د سلپسکواټینګ معنی څه ښکاري) مهم دي ځکه چې دا یوازې د مصنوعي ذهانت یوه ځانګړتیا نه ده. سلپسکواټینګ د مصنوعي ذهانت د دورې ځای ناستی دی. د ټایپوسکواټینګ، د یو مهم توپیر سره: ټایپ کول د انسان د ټایپ کولو غلطۍ پورې اړه لري، پداسې حال کې چې سلپ سکوټ کول د ماډل غلطۍ پورې اړه لري، چې د برید کونکي لپاره په کافي اندازه تکرار کیږي ترڅو په پراخه کچه ترې ګټه پورته کړي. دا لارښود تشریح کوي چې سلپ سکوټ کول څه شی دی، ولې دا د بسته بندۍ بیاکتنې په پرتله ګړندی خپریږي، کوم خطرونه رامینځته کوي، او څنګه سازمانونه کولی شي د تولید ته رسیدو دمخه یې کشف او مخنیوی وکړي.
د سلیپ سکواټینګ معنی: تعریف #
په رسمي ډول د بې ځایه معنی: د یوې بستې نوم ثبتولو عمل چې د ژبې یو لوی ماډل یې وهم کوي، یو اختراع شوی نوم چې د منلو وړ ښکاري مګر په هیڅ عامه راجستر کې شتون نلري، او دا د ناوړه کوډ سره بار کول. مخکې لدې چې یو ریښتینی پراختیا کونکی دا د AI د وړاندیز پراساس نصب کړي.
دا اصطلاح د ټایپوسکوټینګ مفهوم (د یوې بستې نوم ثبتول چې د یوې عام غلطې املا له لارې د اصلي نوم تقلید کوي) د تولیدي AI ځانګړي ناکامۍ حالت ته غځوي. چیرې چې ټایپوسکوټینګ د انسان د ټایپو څخه ګټه پورته کوي، سلپسکوټینګ د یو د مصنوعي ذهانت ماډل وهمونهn: د کوډ کولو مرستیال د هغه پیکج لپاره د pip install یا npm install سپارښتنه کوي چې هیڅکله شتون نلري، او یو بریدګر چې د ورته اختراع شوي نوم په پرامپټونو کې تکرار لیدلی وي لومړی یې ثبتوي.
په عملي اصطلاحاتو کې، د بې ځایه معنی دا ده: د اکمالاتو زنځیر برید چې د ماډل تېروتنه په کاري ګټه اخیستنه بدلوي، پرته له دې چې د AI وړاندیز باور کولو پرته هیڅ انساني تېروتنه ته اړتیا ونلري. دا تیوریکي نه ده. یو واحد وهمي بسته، چې په 2023 کې د یوې بې ضرره ازموینې په توګه ځای پر ځای شوې وه، په دریو میاشتو کې له 30,000 څخه ډیر ډاونلوډونه د صفر ترویج سره راټول کړل او تایید یې کړه چې د دې دقیق نمونې څخه ګټه پورته کونکي ناوړه ډولونه نن ورځ په عامه راجسترونو کې ژوندي دي.
سلپ سکواټینګ او ټایپوسکواټینګ: توپیر څه دی؟ #
سلپ سکواټینګ او ټایپو سکواټینګ ورته پایله شریکوي (یو پراختیا کونکی یو ناوړه بسته نصبوي چې باور لري دا قانوني ده)، مګر د غلطۍ سرچینه په کلکه توپیر لري.
د ټایپ کولو پروسه د انسان د ټایپ کولو په غلطۍ پورې اړه لري: یو پراختیا کونکی د غوښتنې ټایپ کولو او پرځای یې غوښتنې ټایپ کولو معنی لري، او یو بریدګر چې دا غلط نوم یې ثبت کړی وي انتظار باسي. خطر د یو پراختیا کونکي د کیلي سټروک، د یوې شیبې بې پروایۍ پورې تړلی دی.
سلوپسکواټینګ انساني تېروتنه په بشپړه توګه له منځه وړي او د ماډل تېروتنې سره یې ځای نیسي، هغه تېروتنه چې په هر پراختیا کونکي کې چې ورته اشاره ترلاسه کوي په پیمانه تکرار کیږي. د تعقیب تحلیل وموندله چې کله څیړونکو ورته اشارې لس ځله بیا چلولې، د هر یو چلولو په وخت کې د 43٪ وهمي بستې نومونه ښکاره شول، او 58٪ له یو ځل څخه ډیر تکرار شول. دا تکرار وړتیا هغه څه دي چې د سلوپسکواټینګ ګټه پورته کوي: بریدګر اړتیا نلري چې د ټایپو اټکل وکړي. دوی یوازې اړتیا لري چې وګوري چې کوم وهمي نوم یو ماډل تکراروي او مخکې لدې چې یو ریښتینی پراختیا کونکی یې وکړي ثبت کړي.
تر ټولو لوی توپیر پیمانه ده. یو ټایپ شوی پیکج د ټایپ کولو حادثې ته انتظار باسي. یو سلپ شوی پیکج د ورته AI لخوا رامینځته شوي سپارښتنې ته انتظار باسي ترڅو راتلونکي پراختیا کونکي ته ورسیږي، او له هغې وروسته یو، او له هغې وروسته یو، په هر سازمان کې چې ورته ماډل کاروي.
ولې سلپ سکواټینګ خپریږي؟ #
سلپ سکواټېنګ د ورته دلیل لپاره وده کوي چې ټایپ سکواټېنګ تل لري: برید کونکي د وړاندوینې وړ نمونې څخه ګټه پورته کوي چې پراختیا کونکي یې په ډیفالټ باور کوي. هغه څه چې نوي دي د باور کچه ده.
د مصنوعي ذهانت په مرسته کوډ کولو زیاتوالی، خودمختار اجنټان، او "ویب کوډینګ" کاري جریان، چیرې چې پراختیا کونکي د چلولو دمخه د کوډ لږ او لږ بیاکتنه کوي، د سافټویر برید سطح په دوه مشخصو لارو بدل کړی دی:
د ننوتلو نقطه نور یوازې پراختیا کونکی نه دی. د ټایپ کولو برید د یو کس د ټایپ کولو غلطۍ پورې اړه لري. سلپ سکوټ کول کولی شي پخپله ماډل کې رامینځته شي او په سلګونو مختلف پراختیا کونکو ته خپریږي چې ورته پوښتنې کوي او ورته وهم لرونکي سپارښتنه ترلاسه کوي، د یو واحد برید لاسرسی څو چنده کوي.
د برید سطحه د زنځیر په اوږدو کې نوره هم پورته شوې ده. دا نور د هغه کوډ بیاکتنه کولو لپاره کافي ندي چې یو انسان یې لیکي. ټیمونه هم اړتیا لري چې هغه انحصارونه وګوري چې د AI مرستیال یې وړاندیز کوي، د MCP سرورونه چې ورسره وصل کیږي، او هغه اجنټان چې په خپلواکه توګه پیکجونه نصبوي پرته له مستقیم انساني بیاکتنې څخه. دودیز AppSec، د زیرمو او انساني بیاکتنې لپاره جوړ شوی commits، هیڅکله د پراختیا کونکي، مصنوعي ذهانت، او د بسته بندۍ راجسټری ترمنځ د دې نوي تعامل د لیدلو لپاره ډیزاین شوی نه و، کوم چې په سمه توګه هغه ځای دی چې سلپسکوټینګ پټوي.
د بې هوښه کېدو خطرونه #
سلپ سکواټینګ په هغو ابعادو کې خطر رامینځته کوي چې یو بل سره ګډوي، او دا رجحان د ورکیدو پرځای ګړندی کیږي.
- تکراري استخراج. ځکه چې وهمي نومونه ناڅاپي نه دي، ورته جعلي نومونه په غونډو او ماډلونو کې د وړاندوینې وړ بیا راپورته کیږي. برید کونکي اړتیا نلري چې اټکل وکړي؛ دوی یوازې اړتیا لري چې د ماډل چلند وګوري او هغه نومونه ثبت کړي چې تکرار کیږي، یو ځل وهمي په پراخه کچه، تکرار وړ برید بدلوي.
- اجنټانه تکثیر. سلپ سکواټینګ نور د پراختیا کونکي لخوا د وړاندیز شوي نصب کولو قوماندې کاپي پیسټ کولو پورې محدود نه دی. د جنوري په 2026 کې، څیړونکو وموندله چې د AI کوډ کولو اجنټانو دمخه په 237 زیرمو کې د خیالي npm کڅوړې حواله کولو لارښوونې خپرې کړې وې، اجنټان لاهم هڅه کوي چې دا هره ورځ نصب کړي، هیڅ انسان په لوپ کې نه دی چې غلطي ونیسي.
- د نوم او ورته والي څخه تیښته. نږدې ۳۸٪ وهمي نومونه د اصلي پیکجونو سره نږدې ورته والی لري، دا چانس کموي چې پراختیا کونکی په یو نظر کې بدیل ومومي. یو ناوړه پیکج چې د باوري انحصار څخه یو کرکټر لرې ساتي شکمن نه ښکاري؛ دا د هغه ټایپو په څیر ښکاري چې تاسو به یې پخپله جوړ کړئ.
- د کشف وروسته دوامداره افشا کیدل. یو وهمي پیکج چې د ESLint قانوني پلگ ان ځای په ځای کړی و، لاهم د اونۍ ډاونلوډونه ثبتوي حتی وروسته له دې چې راجسټری دا د امنیت لاندې واچاوه، دا ثبوت دی چې د سلپسکویټ شوي پیکج بیرغ کول سمدلاسه د نصبولو مخه نه نیسي.
چیرته چې سلپسکوټینګ پټ وي #
د سلپسکواټینګ تر ټولو سخته برخه د نیولو لپاره دا ده چې دا د برید په وخت کې د برید په څیر نه ښکاري؛ دا د عادي پایپ انسټال یا npm انسټال په څیر ښکاري چې په بریالیتوب سره بشپړ شي، ځکه چې پیکج په ریښتیا سره شتون لري کله چې بریدګر یې ثبت کړي.
سلپ سکواټینګ معمولا له لاندې لارو څخه راځي:
- د مصنوعي ذهانت کوډ کولو مرستیالان او همکاران. لومړنۍ وړاندیز، د یوې اختراع شوې بستې نوم چې د قانوني، کاري کوډ سره یوځای وړاندې کیږي، هغه ځای دی چې زیان منونکي سرچینه اخلي. د شاوخوا کوډ په اړه هیڅ شی غلط نه ښکاري، ځکه چې دا معمولا نه وي؛ یوازې انحصار جعلي دی.
- د کوډ کولو خپلواک اجنټان. هغه اجنټ کاري جریان چې د انسان بیاکتنې پرته انحصارونه نصبوي یو چیک پوائنټ لرې کوي، یو پراختیا کونکی چې د نوم تاییدولو لپاره ودروي، کوم چې په بل ډول به د پروژې ته رسیدو دمخه یو خیالي بسته ونیسي.
- د بسته بندۍ مدیران د تایید مرحله نلري. کله چې هدف لرونکی پیکج شتون ولري او ناوړه وي، نه pip install او نه npm install تېروتنه نه کوي. انسټال په نورمال ډول بشپړیږي ځکه چې د پیکج مدیر له نظره، هیڅ شی غلط نه دی.
څنګه د سلپسکویټینګ کشف او مخنیوی وکړو #
د بې هوښه کېدو مخنیوي لپاره بهرني وسایلو ته اړتیا نشته. دا د انحصاري حفظ الصحې هغه طریقې پلي کولو ته اړتیا لري چې دمخه شتون لري، په سیستماتیک ډول، د دې پرځای چې هغه شیبه آرام کړي کله چې AI کوډ "وړاندیز" کوي.
د نصبولو دمخه هر نوی پیکج تایید کړئ، په ځانګړي توګه یو چې د AI مرستیال لخوا وړاندیز شوی. تایید کړئ چې دا په رسمي راجستر کې شتون لري، څوک یې ساتي، کله خپور شو، او ایا د ډاونلوډ شمیرې یې ریښتیني ښکاري.
هیڅکله مه فرض کوئ چې د AI لخوا رامینځته شوی کوډ په ډیفالټ ډول خوندي دی.. هغه کوډ چې "کار کوي" پدې معنی ندي چې د هغې انحصار مشروع دی. د انحصار بیاکتنه باید د کوډ بیاکتنې برخه وي، نه استثنا.
د انحصار سکیننګ ځای پر ځای کړئ چې د پیژندل شوي CVEs هاخوا د خطر نمونې په نښه کوي: غیر معمولي کڅوړې، نومونه چې په شکمن ډول د موجوده سره ورته دي، نوي ساتونکي چې هیڅ ریکارډ نلري، یا د غیر معمولي چلند سره سکریپټونه نصب کړئ.
د حکومتدارۍ طبقې په توګه AI-SPM تطبیق کړئ. د مصنوعي ذهانت د امنیت د حالت مدیریت هغه عمل دی چې په پراخه کچه د مصنوعي ذهانت لخوا معرفي شوي خطر په سمه توګه د نیولو لپاره ډیزاین شوی، په دوامداره توګه د مصنوعي ذهانت لخوا وړاندیز شوي انحصارونه کشف کوي او مخکې لدې چې یو انسان په لاسي ډول چک کول په یاد ولري، دوی ته نمرې ورکوي.
د زیګیني سره د بې ځایه کیدو په وړاندې خوندي کول #
یوازې د پراختیا کونکو د څارنې له لارې د بې ځایه کار مخه نشي نیول کیدی. هغه پالیسي چې وايي "د مصنوعي ذهانت لخوا وړاندیز شوي هر بسته تایید کړئ" په هغه سازمان کې نه پلي کیږي چیرې چې د انحصار وړاندیزونه د هر انساني بیاکتنې پروسې په پرتله ګړندي راځي.
د زیګیني دا طریقه د دوامداره کشف ستونزې په توګه چلند کوي: د AI انوینټري او د مصنوعي ذهانت بم هر AI معرفي شوی سطح په ټوله کې انحصار SDLC، ټیمونو ته د هغه څه ژوندی ریکارډ ورکوي چې د AI مرستیال په حقیقت کې وړاندیز کړی او نصب کړی دی. زیګیني شیلډ، د لخوا پرمخ وړل کیږي MEW (د مالویر لومړنی خبرداری)، د لاسلیک شتون دمخه ناوړه کڅوړې کشف او بندوي، په شمول د سلپسکواټ شوي کڅوړې، هغه دقیق تشه بندوي چې د لاسلیک پر بنسټ سکینرونه خلاص پریږدي.
که ستاسو ټیمونه د مصنوعي ذهانت کوډ کولو معاونین کاروي، نو د سلپسکوټینګ ستونزه لا دمخه شتون لري. پوښتنه دا ده چې ایا راتلونکی وهمي نوم د نصب کیدو دمخه نیول کیږي.

FAQs #
سلوپسکواټینګ د اکمالاتي زنځیر برید دی چیرې چې ناوړه لوبغاړي دقیق غیر موجود پیکج نومونه ثبتوي چې د AI کوډ کولو مرستیالان په مکرر ډول وهم کوي، مخکې لدې چې پراختیا کونکي د AI د وړاندیز پراساس یو نصب کړي د مالویر سره یې باروي.
برید کوونکي ګوري چې د AI ماډلونو کوم نومونه په مکرر ډول وهم کوي، بیا هغه دقیق نومونه د ناوړه کوډ سره ثبتوي مخکې لدې چې یو ریښتینی پراختیا کونکی یې وکړي. ځکه چې وهم شوی نوم په پرامپټونو او غونډو کې د وړاندوینې سره تکرار کیږي، یو واحد راجستر شوی سلپسکواټ شوی بسته کولی شي هر هغه پراختیا کونکي ته ورسیږي چې ورته AI وړاندیز ترلاسه کوي، د یو ماډل عجیبه برخه د ټول کارونکي اساس په اوږدو کې د توزیع وړ برید ته اړوي.
مؤثره کشف پدې معنی دی چې د مصنوعي ذهانت لخوا وړاندیز شوي انحصارونه د خطر د یوې ځانګړې کټګورۍ په توګه درملنه کیږي، نه د عادي خلاصې سرچینې انحصارونو فرعي سیټ. دا د هغه څه لید ته اړتیا لري چې د مصنوعي ذهانت کوډ کولو معاونین او اجنټان په حقیقت کې وړاندیز کوي او نصب کوي، د راجسټری ډیټا (د خپرولو نیټه، د ساتونکي تاریخ، د ډاونلوډ نمونې) او د چلند پر بنسټ د مالویر کشف په وړاندې متقابل حواله، د لاسلیک پر بنسټ سکین کولو پر ځای.