Slopsquatting: die verborgene Bedrohung in KI-Codierungswerkzeugen
Wenn KI-Assistenten Softwarepakete erfinden, die es nicht gibt, registrieren Kriminelle diese Namen und füllen sie mit Malware. Hier erfahren Sie, wie der Angriff funktioniert und was Entwickler dagegen tun können.

Wichtige Punkte
- Slopsquatting ist ein Supply-Chain-Angriff, der exploitiert, dass KI-Codierungsassistenten gefälschte Softwarepaket-Namen erfinden, die Kriminelle dann registrieren und mit bösartigem Code füllen.
- Eine Studie von 576.000 KI-generierten Codeproben zeigte, dass 19,7% der von der KI empfohlenen Softwarepakete nicht vorhanden waren.
- GPT-4o Turbo, OpenAIs Modell, halluzinierte gefälschte Paketnamen mit einer Quote von 3,59%, während Open-Source-Modelle Quoten über 13% erreichten.
- Die gemeldeten Softwaresicherheitslücken wuchsen laut aktueller Forschung um 98% pro Jahr – fast viermal so schnell wie das 25%-Jahreswachstum bei der Anzahl von Open-Source-Paketen.
- Entwickler können ihr Risiko senken, indem sie überprüfen, dass jedes von einer KI empfohlene Paket tatsächlich in einem offiziellen Register existiert, bevor sie es installieren.
Jedes Mal, wenn ein Entwickler einen KI-Codierungsassistenten bittet, Software zu schreiben, kann die KI beiläufig ein Paket empfehlen – ein vorgefertigtes Bündel von Code, das andere Programmierer kostenlos online teilen – das einfach nicht vorhanden ist. Die KI hat es erfunden. Das klingt harmlos, bis man erfährt, dass Kriminelle genau darauf warten.
Der Angriff wird Slopsquatting genannt. Der Name verbindet „AI slop", Internetslang für minderwertige KI-Ausgaben, mit „Typosquatting", ein alter Trick, bei dem Kriminelle Website- oder Paketnamen registrieren, die dem Original ähneln, aber einen absichtlichen Rechtschreibfehler enthalten. Slopsquatting geht weiter: Der gefälschte Name war nie eine Falschschreibung von irgendetwas. Die KI hat ihn vollständig erfunden.
So läuft es ab. Ein Entwickler bittet seinen KI-Assistenten, etwa GitHub Copilot oder ChatGPT, eine Funktion zu seiner App hinzuzufügen. Die KI schreibt funktionierenden Code, der ein Paket mit einem Namen wie „cross-env-extended" importiert. Der Entwickler führt ihn aus. Sein Computer ruft das Paket aus dem Internet ab und installiert es. Wenn ein Krimineller diesen Namen zuerst registriert hat und ihn mit Malware geladen hat, hat der Entwickler gerade die Schlüssel übergeben.
Die heute vorhandenen Abwehrmechanismen decken dies nicht ab. Paket-Register, die Online-Bibliotheken, aus denen Entwickler Code herunterladen, sperren bereits offensichtliche Tippfehler bei populären Paketen. Sie würden „crossenv" als gefälschte Version von „cross-env" erkennen. Sie haben keine Möglichkeit, „cross-env-extended" zu kennzeichnen, weil der Name vollkommen legitim klingt.
Das Ausmaß des Problems ist besorgniserregend. Eine von VentureBeat zitierte Studie analysierte knapp 576.000 KI-generierte Codeproben und stellte fest, dass etwa ein Fünftel der von der KI empfohlenen Paketnamen Erfindungen waren. Selbst GPT-4o, OpenAIs aktuelles Flaggschiff-Modell, empfahl halluzinierte Paketnamen in diesen Tests mit einer Quote von 3,59%. Open-Source-Modelle schnitten schlechter ab: DeepSeek 1B, das beste getestete Open-Source-Modell, erreichte immer noch 13,63%, was Open-Source-KI-Tools bei diesem Maß etwa viermal risikoreicher macht.
Die Halluzinationen sind nicht zufällig, und genau das macht sie gefährlich. Modelle erfinden tendenziell dieselben gefälschten Namen wiederholt. Ein Krimineller, der abbildet, welche Namen ein populäres Modell bevorzugt, kann eine Handvoll Pakete registrieren und warten, dass Tausende von Entwicklern sie automatisch installieren.
Was sollten Entwickler wirklich tun?
Der einfachste Schritt ist auch der wirksamste: Bevor Ihr Projekt ein Paket installiert, das eine KI empfiehlt, suchen Sie selbst in einem offiziellen Register danach, etwa npmjs.com für JavaScript oder PyPI für Python. Wenn es dort nicht vorhanden ist, verwenden Sie es nicht.
Teams können weiter gehen, indem sie automatisierte Überprüfungen einrichten – Skripte, die jeden Paketnamen in einem Projekt vor dem Versand des Codes gegen das offizielle Register abgleichen. Sicherheitsteams sollten auch bekannte Slopsquatting-Kampagnen auf die gleiche Weise verfolgen wie Phishing-Trends.
Mehr als 40% des Codes, den Entwickler heute committen, enthält bereits KI-Unterstützung, und dieser Anteil wächst. Je mehr die KI Code ohne menschliche Überprüfung schreibt, desto größer wird die Öffnung. Die Lösung ist nicht, die Nutzung von KI-Tools einzustellen. Sie besteht darin, ihre Ausgabe als ersten Entwurf zu betrachten, der noch einer grundlegenden Faktenchecks bedarf.
Ein Satz zur Überprüfung kann eine Tür schließen, auf die Kriminelle aktiv drängen.



