В 2023 году исследователь в области безопасности по имени Бар Ланядо провел незаметный эксперимент. Он заметил, что помощники по программированию на основе ИИ постоянно рекомендовали пакет Python под названием Huggingface-кли, пакет, которого не существовало. Поэтому он создал его: пустой заполнитель, загруженный под тем же именем, которое придумали модели. Он не добавил ни функциональности, ни полезной нагрузки. Он просто ждал.
За три месяца пакет был скачан более 30 000 раз. Призрачная команда установки даже попала в файл README общедоступного репозитория крупной технологической компании. Пакет Ланядо был безвреден. Но эксперимент показал нечто тревожное: злоумышленник может предсказать, что изобретет ИИ, зарегистрировать это первым и позволить разработчикам установить это самостоятельно. Теперь у этой техники есть название. приседанияИ это одна из самых быстрорастущих угроз в цепочке поставок программного обеспечения.
Что такое «слопсквоттинг»?
Slopsquatting is атака на цепочку поставок в котором злоумышленник регистрирует вредоносный программный пакет под именем, которое, как и следовало ожидать, представляется в виде галлюцинаций помощникам по программированию на основе искусственного интеллекта. Когда разработчик обращается за помощью к инструменту искусственного интеллекта, и тот предлагает установить правдоподобно звучащую, но несуществующую зависимость, злоумышленник уже зарегистрировал это имя в публичном реестре, поэтому «полезное» предложение устанавливает вредоносное ПО, а не ничего.
Срок был Этот термин был введен в апреле 2025 года Сетом Ларсоном., штатный разработчик по вопросам безопасности в Python Software Foundation. Это игра слов, основанная на... TyposquattingБолее ранний вид нападения, когда преступники регистрируют орфографические ошибки в названиях популярных товаров (запросы вместо ЗапросыРазница заключается в источнике ошибки: typosquatting использует человеческие опечатки, в то время как slopsquatting использует «ошибки» ИИ: уверенный, беглый, но неправильный результат, который выдают большие языковые модели.
Почему приседания в неположенном месте действительно работают
Можно предположить, что галлюцинации, вызванные искусственным интеллектом, — это случайный шум: каждый раз новое вымышленное имя, которое невозможно использовать в качестве оружия. Однако исследования говорят об обратном, и в этом вся суть.
Рецензируемое исследование, представленное на USENIX Security 2025 (Спраклен и др.) Было протестировано 16 крупных языковых моделей на 576 000 сгенерированных примерах кода. Выяснилось, что 19.7% рекомендованных пакетов не существовали: всего было обнаружено 205 474 уникальных вымышленных имени. Важно отметить, что эти вымышленные имена были повторяемый: 43% поддельных имен появлялись повторно при повторных запросах, а 58% повторялись при десяти запусках одного и того же запроса. Модели с открытым исходным кодом выдавали ложные данные о пакетах в 21.7% случаев; даже коммерческие модели, такие как GPT-4, делали это в 5.2% случаев: один раз из двадцати.
Повторяемость — вот что превращает странность в атаку. Злоумышленнику не нужно гадать. Он может запускать популярные запросы, записывать, какие несуществующие пакеты постоянно предлагают модели, и регистрировать эти имена как вредоносное ПО. Искусственный интеллект сам выбирает цель.
Как разворачивается атака с использованием самовольного занятия земли.
Цепочка атак короткая, и это одна из причин её опасности:
- Обратите внимание. Злоумышленник предлагает помощникам по программированию на основе ИИ типичные задачи разработки и регистрирует имена пакетов, которые эти инструменты придумывают, но которых нет в реестре.
- Регистр. Они выпускают вредоносный пакет под одним из этих вымышленных названий, с чистым файлом README, правдоподобными метаданными и полезной нагрузкой, скрытой в скрипте установки.
- Подождите. Разработчик (или автономный программист) задает инструменту искусственного интеллекта аналогичный вопрос, получает ту же самую вымышленную рекомендацию и запускает программу. устанавливать.
- Выполнить. Запускается механизм установки пакета, который высвобождает секретные данные, открывает обратную оболочку или внедряет бэкдор, а результат компрометации распространяется на этапы сборки и производства.
Автономные агенты-программисты значительно повышают вероятность успешного выполнения шага 3. Агент, устанавливающий зависимости без проверки человеком, устраняет ту единственную контрольную точку, где разработчик мог бы остановиться и подумать: «Я никогда не слышал об этом пакете».
Насколько это плохо на самом деле?
Ситуация ухудшается, а не улучшается. В исследовании USENIX было протестировано 16 моделей, и по-прежнему обнаруживалось, что почти каждый пятый из рекомендованных пакетов не существует, так что эта проблема не ограничивается более старыми или слабыми инструментами. А помощник по программированию, работающий только с обучающими данными, никак не может узнать, является ли предложенное им имя пакета безопасным, вымышленным или уже помеченным как вредоносное ПО: у него нет информации о реестре в режиме реального времени. Это не лабораторная диковинка. Это именно то поведение, на которое разработчики теперь полагаются десятки раз в день.
Склопсквоттинг также масштабируется вместе с более широким коллапсом в сфере гигиены цепочек поставок. В 2025 году массовые кампании по распространению вредоносных пакетов стали базовой операционной моделью для атак на цепочки поставок, как показано в отчете Xygeni «Новые тенденции атак в области безопасности приложений на 2026 год»: злоумышленники публикуют контент в больших объемах, соглашаются на быстрое удаление и полагаются на вероятность, а иллюзии искусственного интеллекта предоставляют им постоянный поток высококонверсионных имен для регистрации.
Как защититься от самовольного занятия жилья
Неприятная правда заключается в том, что инструменты, основанные на сигнатурах, не могут это обнаружить. Пакет, размещенный таким образом, совершенно новый; для него не существует уязвимости CVE, нет сигнатуры, и он может оставаться активным всего несколько часов до удаления, чего достаточно для того, чтобы набрать тысячи установок. Эффективная защита основана на четырех принципах:
- Никогда не устанавливайте пакет, предложенный искусственным интеллектом, не убедившись в его существовании и легитимности. Проверьте реальную историю загрузок, имя сопровождающего и название репозитория, а не просто убедитесь, что название звучит правильно.
- Обнаружение вредоносных программ осуществляется по поведению, а не по сигнатурам. Оцените пакет на этапе публикации, учитывая его действия во время установки, сетевые вызовы и т.д. схемы обфускацииТаким образом, вредоносный пакет помечается как вредоносный в момент его появления, а не после того, как о нем уже известно.
- Создайте барьер для защиты от зависимостей между разработчиками и реестром. Автоматически помещайте подозрительные или совершенно новые пакеты в карантин до того, как они попадут в сборку, вместо того, чтобы по умолчанию доверять общедоступному реестру.
- Проведите инвентаризацию того, какие системы искусственного интеллекта используются в вашей системе. pipeline. Системы автоматического программирования и автономные агенты, устанавливающие зависимости, являются частью вашей поверхности атаки. Спецификация материалов для искусственного интеллекта (AI-BOM) делает это видимым.
Приседания в неудобных позах — один из симптомов более масштабных изменений.
Слопсквоттинг — это самый яркий пример более широкой тенденции: ИИ теперь одновременно является и тем, что пишет ваш код, и тем, на что указывают злоумышленники в вашей цепочке поставок. Защита от него в отрыве от контекста недостаточна; он должен быть частью более широкой стратегии. Для получения полной картины см. наше руководство по... безопасность цепочки поставок с использованием ИИ, которая охватывает вредоносные пакеты, Риски MCPа также сгенерированный ИИ код и средства защиты, предназначенные для противодействия им.
Прекратите приседать небрежно, прежде чем это начнет сказываться на вашем телосложении.
Наиболее эффективно остановить некачественно созданный пакет — это момент, когда разработчик пытается его установить, ещё до запуска скрипта установки. Именно так и происходит. Щит Ксигени Shield — это легковесный агент на конечной точке разработчика, который блокирует вредоносные пакеты во время установки, используя Раннее предупреждение о вредоносном ПО (MEW) Вердикты, которые работают еще до того, как появится какая-либо подпись. Когда ИИ-помощник предлагает вымышленную зависимость, и разработчик запускает устанавливатьShield оценивает пакет в момент его загрузки и блокирует его: вредоносный скрипт после установки никогда не выполняется, и группа безопасности видит попытку с полным контекстом.
Поскольку MEW оценивает поведение пакета в момент его публикации (действия во время установки, сетевые вызовы, шаблоны обфускации), Shield точно выявляет совершенно новые пакеты без подписи, от которых зависит сквоттинг, а также тайпсквоттинг, путаницу с зависимостями и компрометацию сопровождающих. Каждый блок кода поступает в ту же консоль Xygeni, что и результаты проверки кода, сборки и среды выполнения, поэтому новых сообщений не появляется. dashboard При этом не требуется устанавливать новые отношения с поставщиком, и Shield работает параллельно с вашей существующей системой EDR, а не противодействует ей.
Начните бесплатно. Тарифный план Xygeni для разработчиков стоит 0 евро: 10 репозиториев, 200 сканирований в месяц, до 5 участников, кредитная карта не требуется. Sign up with GitHubВоспользуйтесь GitLab или Google и запустите первое сканирование менее чем за 10 минут; защита конечных точек Shield скоро появится в тарифном плане для разработчиков.
FAQ
Представляет ли собой сквоттинг реальную угрозу или это всего лишь теория?
Это правда. В 2023 году исследователь Бар Ланьядо представил прототип, в котором был показан пакет-заглушка под вымышленным названием (Huggingface-кли) был загружен более 30 000 раз за три месяца. Исследование USENIX Security 2025 показало, что 19.7% рекомендованных ИИ пакетов не существуют, а 43% этих вымышленных названий повторяются в разных запросах, что означает, что злоумышленники могут предсказать и зарегистрировать их.
В чём разница между slopsquatting и typosquatting?
Тайпосквоттинг использует человеческие опечатки, регистрируя неправильное написание популярных пакетов (запросы для ЗапросыСлопсквоттинг использует галлюцинации ИИ, регистрируя уверенные, но неверные имена пакетов, которые придумывают большие языковые модели. Обе стратегии направлены на то, чтобы обманом заставить разработчика установить вредоносный пакет, но ошибка, которую они используют в качестве оружия, различна.
Можно ли доверять помощникам по программированию на основе ИИ в плане предложения зависимостей?
Без проверки это невозможно. Даже ведущие коммерческие модели примерно в 5% случаев выдают несуществующие пакеты, а более поздний анализ показал, что почти 28% предложений по обновлению зависимостей от текущей модели были ложными. Всегда проверяйте, действительно ли существует и является ли предлагаемый пакет легитимным, прежде чем устанавливать его.
Как защитить свой код от несанкционированного использования чужого кода?
Проверяйте пакеты, предлагаемые ИИ, перед установкой, обнаруживайте вредоносное ПО по его поведению во время публикации, а не ожидая подтверждения подписи, создайте брандмауэр зависимостей между разработчиками и общедоступными реестрами, а также ведите учетную документацию AI-BOM инструментов и агентов ИИ, работающих в вашей системе. pipeline.




