Глоссарий по безопасности Xygeni
Глоссарий по безопасности разработки и доставки программного обеспечения

Что такое «слопсквоттинг»?

Что такое «слопсквоттинг»? Это нападение. В этом случае злоумышленники регистрируют именно те имена пакетов, которые придумывают помощники по программированию на основе ИИ, затем загружают в эти пакеты вредоносное ПО и ждут, пока разработчик их установит. Это не частный случай. В исследовании, представленном на Безопасность USENIX 2025, 19.7% пакетов, рекомендованных моделями ИИ на основе 576 000 примеров кода, на самом деле не существовали, а исследователи зафиксировали более 205 000 уникальных вымышленных названий среди протестированных моделей.

Понимание того, что такое «слопсквоттинг» (и как это понятие проявляется на практике), важно, потому что это не просто причуда искусственного интеллекта. Слопсквоттинг — это преемник ИИ в эпоху... Typosquattingс одним важным отличием: тайпсквоттинг основан на опечатке, допущенной человеком, в то время как шлопсквоттинг основан на ошибке в модели, повторяющейся достаточно предсказуемо, чтобы злоумышленник мог использовать её в масштабах. В этом руководстве объясняется, что такое шлопсквоттинг, почему он распространяется быстрее, чем его может обнаружить проверка пакетов, какие риски он создает и как организации могут обнаружить и предотвратить его до того, как он попадет в производство.

Значение слова «slopsquatting»: определение #

Формально под термином «слопсквоттинг» понимается практика регистрации имени пакета, которое генерируется крупной языковой моделью — вымышленного имени, звучащего правдоподобно, но не существующего ни в одном общедоступном реестре, — и загрузки в него вредоносного кода. прежде чем настоящий разработчик установит его на основе предложения ИИ..

Этот термин расширяет концепцию тайпоскваттинга (регистрации имени пакета, имитирующего реальное имя за счет распространенной орфографической ошибки) до конкретного режима сбоя генеративного ИИ. Если тайпоскваттинг использует опечатку человека, то шлопсквоттинг использует ошибку человека. галлюцинации модели ИИn: помощник программиста рекомендует установить пакет с помощью pip или npm install, которого никогда не существовало, и злоумышленник, заметивший, что одно и то же вымышленное имя повторяется во всех запросах, регистрирует его первым.

В практическом плане слопсквоттинг означает следующее: атака на цепочку поставок, которая превращает ошибку модели в работающий эксплойт, не требующий человеческой ошибки, кроме доверия к предложению ИИ. Это не теория. Один-единственный вымышленный пакет, запущенный в качестве безобидного теста в 2023 году, за три месяца был загружен более 30 000 раз без какой-либо рекламы и подтвердил, что вредоносные варианты, использующие именно эту схему, уже сегодня находятся в публичных реестрах.

Слопсквоттинг против тайпосквоттинга: в чем разница? #

Слопсквоттинг и тайпосквоттинг приводят к одному и тому же результату (разработчик устанавливает вредоносный пакет, считая его легитимным), но источник ошибки принципиально различен.

Тайпосквоттинг основан на человеческой опечатке: разработчик хочет написать requests, а вместо этого пишет reqeusts, и злоумышленник, зарегистрировавший имя с ошибкой, уже ждет своего часа. Риск связан с одним нажатием клавиши разработчика, одним моментом невнимательности.

Слопсквоттинг полностью исключает человеческую ошибку и заменяет её ошибкой модели, которая повторяется в масштабах каждого разработчика, получающего аналогичное сообщение. Последующий анализ показал, что когда исследователи повторно запускали идентичные сообщения десять раз, 43% вымышленных названий пакетов появлялись при каждом запуске, а 58% повторялись более одного раза. Именно эта повторяемость делает слопсквоттинг уязвимым: злоумышленнику не нужно угадывать опечатку. Ему достаточно наблюдать, какое вымышленное имя модель постоянно повторяет, и зарегистрировать его раньше, чем это сделает реальный разработчик.

Самое большое различие заключается в масштабе. Пакет с опечаткой ждет случайной опечатки. Пакет с ошибкой в ​​написании ждет, пока та же рекомендация, сгенерированная ИИ, дойдет до следующего разработчика, и до следующего за ним, и до следующего за ним, во всех организациях, использующих одну и ту же модель.

Почему так распространилось сквоттинг? #

Склопсквоттинг распространяется по той же причине, по которой всегда распространялся тайпсквоттинг: злоумышленники используют предсказуемый шаблон, которому разработчики по умолчанию доверяют. Новым является масштаб доверия.

Расцвет программирования с использованием искусственного интеллекта.Автономные агенты и рабочие процессы «вайб-кодирования», при которых разработчики проверяют все меньше и меньше кода перед его запуском, изменили поверхность атаки программного обеспечения двумя конкретными способами:

Точкой входа теперь является не только разработчик. Атака с использованием опечаток зависит от одной опечатки. Опечатка может исходить из самой модели и распространяться на сотни разных разработчиков, которые задают похожие вопросы и получают одну и ту же мнимую рекомендацию, многократно увеличивая масштаб одной атаки.

Поверхность атаки сместилась выше по цепочке. Уже недостаточно проверять код, написанный человеком. Командам также необходимо следить за зависимостями, которые предлагает ИИ-помощник, за серверами MCP, к которым он подключается, и за агентами, которые устанавливают пакеты автономно без прямого контроля со стороны человека. Традиционная система безопасности приложений, созданная для проверки репозиториев и действий человека, commits никогда не был предназначен для наблюдения за этим новым взаимодействием между разработчиком, ИИ и реестром пакетов, и именно здесь скрывается неряшливость.

Риски, связанные с неряшливым приседанием. #

Несанкционированное занятие помещений создает риски во многих сферах, которые усугубляют друг друга, и эта тенденция не затухает, а, наоборот, набирает обороты.

  • Повторяемая эксплуатация. Поскольку вымышленные имена не случайны, одно и то же поддельное имя предсказуемо появляется в разных сессиях и моделях. Злоумышленникам не нужно гадать; им достаточно наблюдать за поведением модели и регистрировать имена, которые постоянно повторяются, превращая разовую галлюцинацию в масштабируемую, повторяемую атаку.
  • Агентное распространение. Склонность к созданию чужих файлов больше не ограничивается копированием и вставкой предлагаемой команды установки разработчиком. В январе 2026 года исследователи обнаружили, что агенты ИИ, занимающиеся программированием, уже распространили инструкции, ссылающиеся на вымышленный пакет npm, по 237 репозиториям, и агенты до сих пор ежедневно пытаются его установить, без участия человека, который мог бы обнаружить ошибку.
  • Уклонение от использования сходства имен. Примерно 38% вымышленных названий очень похожи на реальные пакеты, что снижает вероятность того, что разработчик заметит подмену с первого взгляда. Вредоносный пакет, отличающийся всего на один символ от доверенной зависимости, не выглядит подозрительно; он выглядит как опечатка, которую вы бы допустили сами.
  • Длительное воздействие после обнаружения. Призрачный пакет, заменивший легитимный плагин ESLint, продолжал еженедельно скачиваться даже после того, как реестр заблокировал его, что свидетельствует о том, что пометка пакета как незаконно размещенного не сразу предотвращает его установку.

Где скрывается скваттинг (приседание в неположенном месте) #

Самая сложная часть обнаружения сплэксквоттинга заключается в том, что в момент его совершения он не выглядит как атака; он выглядит как обычная установка через pip или npm, успешно завершившаяся, потому что пакет действительно существует после того, как злоумышленник его зарегистрировал.

Проникновение в жилище в неподобающей обстановке обычно происходит следующим образом:

  • Помощники и вторые пилоты в области программирования на основе искусственного интеллекта. Первоначальное предположение, вымышленное имя пакета, представленное вместе с легитимным, работающим кодом, и является источником уязвимости. В окружающем коде ничего не выглядит неправильно, потому что обычно так и есть; поддельной является только зависимость.
  • Автономные агенты кодирования. В автоматизированных рабочих процессах, устанавливающих зависимости без участия человека, устраняется единственный контрольный пункт — необходимость проверки имени разработчиком, — который в противном случае позволил бы обнаружить некорректно созданный пакет до того, как он попадет в проект.
  • Менеджеры пакетов без этапа проверки. Ни pip install, ни npm install не выдают ошибок, если целевой пакет существует и является вредоносным. Установка завершается нормально, поскольку с точки зрения менеджера пакетов всё в порядке.

Как обнаружить и предотвратить самовольное занятие чужой территории (сквотксвоттинг). #

Для предотвращения неэффективного использования зависимостей не требуются экзотические инструменты. Необходимо систематически применять уже существующие методы обеспечения гигиены зависимостей, а не ослаблять их в тот момент, когда ИИ «предлагает» код.

Перед установкой любого нового пакета проверьте его целостность.Особенно если оно предложено ИИ-помощником. Убедитесь, что оно существует в официальном реестре, кто его поддерживает, когда оно было опубликовано и соответствуют ли данные о количестве загрузок действительности.

Никогда не следует считать, что сгенерированный ИИ код по умолчанию безопасен.Код, который «работает», не означает, что его зависимости являются допустимыми. Проверка зависимостей должна быть частью проверки кода, а не исключением из неё.

Внедрите сканирование зависимостей, которое выявляет закономерности рисков, выходящие за рамки известных CVE: аномальные пакеты, названия, подозрительно похожие на существующие, новые сопровождающие без опыта работы или скрипты установки с необычным поведением.

Примените AI-SPM в качестве уровня управления. Управление состоянием безопасности с помощью ИИ — это практика, разработанная для выявления именно таких рисков, создаваемых ИИ, в больших масштабах, путем непрерывного обнаружения предложенных ИИ зависимостей и их оценки до того, как человеку придется вспоминать о необходимости проверки вручную.

Защита от самовольного занятия скота с помощью Xygeni #

Предотвратить несанкционированное использование чужих ресурсов одним лишь вниманием разработчиков невозможно. Политика, гласящая «проверяйте каждый пакет, предложенный ИИ», не масштабируется в организации, где предложения по зависимостям поступают быстрее, чем любой процесс проверки человеком может с ними справиться.

Ксигени Этот подход рассматривает данную проблему как задачу непрерывного обнаружения: AI Inventory and AI BOM поверхность каждого внедренного ИИ зависимость между SDLCПредоставляя командам возможность отслеживать в режиме реального времени, что именно предложил и установил ИИ-помощник. Xygeni Shield, работающий на базе MEW (Система раннего предупреждения о вредоносных программах)Эта программа обнаруживает и блокирует вредоносные пакеты, в том числе размещенные с помощью slopsquat, еще до того, как будет сформирована сигнатура, устраняя ту самую уязвимость, которую оставляют сканеры, основанные на сигнатурах.

Если ваши команды используют помощников по программированию на основе ИИ, проблема «сквоттинга» уже существует. Вопрос в том, удастся ли выявить следующее вымышленное имя до того, как оно будет установлено.

FAQ #

Что значит "приседать в позе на корточках" одним предложением?

Слопсквоттинг — это атака на цепочку поставок, при которой злоумышленники регистрируют точные несуществующие имена пакетов, которые многократно выдумывают помощники-программисты с искусственным интеллектом, загружая в них вредоносное ПО, прежде чем разработчик установит пакет на основе предложения ИИ.

Каким образом самовольное занятие чужих помещений создает угрозу безопасности цепочки поставок?

Злоумышленники отслеживают, какие имена пакетов модели ИИ повторяют снова и снова, а затем регистрируют именно эти имена со вредоносным кодом до того, как это сделает реальный разработчик. Поскольку повторяющееся имя предсказуемо появляется в разных запросах и сессиях, один зарегистрированный пакет, созданный с помощью slopsquat, может достичь каждого разработчика, получающего аналогичное предложение от ИИ, превращая одну особенность модели в масштабируемую атаку на всю пользовательскую базу.

Как выявить риск неэффективного использования ресурсов в организации?

Эффективное обнаружение означает рассмотрение предложенных ИИ зависимостей как отдельной категории риска, а не как подмножества обычных зависимостей с открытым исходным кодом. Это требует прозрачности в отношении того, что именно предлагают и устанавливают помощники и агенты ИИ, сопоставляя это с данными реестра (дата публикации, история разработчиков, шаблоны загрузок) и обнаружением вредоносных программ на основе поведения, а не полагаясь только на сканирование по сигнатурам.

Начать бесплатно

Начни бесплатно.
Нет необходимости кредитную карту.

Начните работу одним щелчком мыши:

Эта информация будет надежно сохранена в соответствии с Условия Предоставления Услуг и Персональные данные

Скриншот приложения