隨著用于編碼的生成式人工智能工具的使用日益增多，且相關(guān)模型存在 " 臆造 " 出不存在的軟件包名稱的傾向，一種名為 "slopsquatting" 的新型供應(yīng)鏈攻擊已經(jīng)出現(xiàn)。

slopsquatting 這個(gè)術(shù)語(yǔ)是由安全研究人員 Seth Larson 創(chuàng)造的，是對(duì) typosquatting 的一種解釋。typosquatting 是一種攻擊方法，通過(guò)使用與流行庫(kù)非常相似的名稱來(lái)欺騙開(kāi)發(fā)人員安裝惡意軟件包。

與 typposquatting 不同，slopsquatting 不依賴于拼寫(xiě)錯(cuò)誤。相反，威脅者可以在 PyPI 和 npm 等索引上創(chuàng)建惡意包，這些索引通常由 AI 模型在編碼示例中組成。

2025 年 3 月發(fā)表的一篇關(guān)于包幻覺(jué)的研究論文表明，在大約 20% 的研究案例（576,000 個(gè)生成的 Python 和 JavaScript 代碼樣本）中，推薦的包不存在。

像 CodeLlama、DeepSeek、WizardCoder 和 Mistral 這樣的開(kāi)源法學(xué)管理軟件的情況更糟，但像 ChatGPT-4 這樣的商業(yè)工具仍然以 5% 的速度出現(xiàn)新的 " 仿造款 "，這是很值得關(guān)注的。

雖然在研究中記錄 " 臆想 " 包裝名稱數(shù)量很大，超過(guò) 20 萬(wàn)，其中 43% 的名稱在類似的提示中持續(xù)重復(fù)，58% 的名稱在 10 次運(yùn)行中至少再次出現(xiàn)一次。

研究表明，這些捏造的包裝名稱中，有 38% 的名字似乎是受到真實(shí)名字的啟發(fā)，13% 是拼寫(xiě)錯(cuò)誤的結(jié)果，剩下的 51% 完全是捏造的。

盡管沒(méi)有跡象表明攻擊者已經(jīng)開(kāi)始利用這種新型攻擊，但有安全研究人員警告說(shuō)， " 臆造 " 出不存在的軟件包名稱是常見(jiàn)的，可重復(fù)的，并且在語(yǔ)義上是合理的，創(chuàng)造了一個(gè)可預(yù)測(cè)的攻擊面，可以很容易地武器化。

總的來(lái)說(shuō)，58% 的 " 臆想 " 包裝在 10 次運(yùn)行中重復(fù)了不止一次，這表明大多數(shù) " 臆想 " 不僅僅是隨機(jī)的噪音，而是模型對(duì)某些提示的反應(yīng)的可重復(fù)的人工制品。這種可重復(fù)性增加了它們對(duì)攻擊者的價(jià)值，使其更容易通過(guò)觀察少量模型輸出來(lái)識(shí)別可行的相關(guān)目標(biāo)。

減輕這種風(fēng)險(xiǎn)的唯一方法是手動(dòng)驗(yàn)證包名稱，并且永遠(yuǎn)不要假設(shè) ai 生成的代碼片段中提到的包是真實(shí)的或安全的。

使用依賴掃描器、鎖文件和哈希驗(yàn)證將包鎖定到已知的可信版本是提高安全性的有效方法。

研究表明，降低與人工智能的黏性可以減少 " 臆想 "，在生產(chǎn)環(huán)境中運(yùn)行或部署 ai 生成的代碼之前，始終在安全、隔離的環(huán)境中對(duì)其進(jìn)行測(cè)試也是明智之舉。