Slopsquatting: la minaccia nascosta dentro gli strumenti di codifica AI
Quando gli assistenti AI inventano pacchetti software che non esistono, i criminali registrano quei nomi e li riempiono di malware. Ecco come funziona l'attacco e cosa possono fare gli sviluppatori.

Punti chiave
- Lo slopsquatting è un attacco alla catena di approvvigionamento che sfrutta gli assistenti di codifica AI che inventano nomi di pacchetti software falsi, che i criminali poi registrano e riempiono di codice dannoso.
- Uno studio su 576.000 campioni di codice generati da AI ha rilevato che il 19,7% dei pacchetti software consigliati dall'AI non esisteva.
- GPT-4o Turbo, il modello di OpenAI, ha allucinato nomi di pacchetti falsi a una velocità del 3,59%, mentre i modelli open-source hanno raggiunto tassi superiori al 13%.
- Le vulnerabilità software segnalate sono cresciute del 98% annualmente nelle ricerche recenti, quasi quattro volte la crescita annuale del 25% nel numero di pacchetti open-source.
- Gli sviluppatori possono ridurre il rischio verificando che ogni pacchetto consigliato da un AI esista effettivamente in un registro ufficiale prima di installarlo.
Ogni volta che uno sviluppatore chiede a un assistente di codifica AI di scrivere software, l'AI potrebbe tranquillamente consigliare un pacchetto, un bundle pre-costruito di codice che altri programmatori condividono gratuitamente online, che semplicemente non esiste. L'AI l'ha inventato. Sembra innocuo finché non scopri che i criminali stanno esattamente cercando questo.
L'attacco è chiamato slopsquatting. Il nome fonde "AI slop," gergo internet per output AI di bassa qualità, con "typosquatting," un vecchio trucco in cui i criminali registrano nomi di siti web o pacchetti che assomigliano a quelli veri ma contengono un errore di ortografia deliberato. Lo slopsquatting va oltre: il nome falso non era mai un errore di ortografia di nulla. L'AI l'ha creato dal nulla.
Ecco come si svolge. Uno sviluppatore chiede al suo assistente AI, diciamo GitHub Copilot o ChatGPT, di aggiungere una funzione alla sua app. L'AI scrive codice funzionante che importa un pacchetto chiamato qualcosa come "cross-env-extended." Lo sviluppatore lo esegue. Il suo computer scarica quel pacchetto da internet e lo installa. Se un criminale ha registrato quel nome per primo e lo ha caricato con malware, lo sviluppatore ha appena consegnato le chiavi.
Le difese che esistono oggi non coprono questo scenario. I registri di pacchetti, le librerie online da cui gli sviluppatori scaricano il codice, bloccano già i refusi ovvi dei pacchetti popolari. Catturerebbero "crossenv" come versione falsa di "cross-env." Non hanno modo di segnalare "cross-env-extended" perché il nome sembra perfettamente legittimo.
La scala del problema è allarmante. Uno studio citato da VentureBeat ha analizzato quasi 576.000 campioni di codice generati da AI e ha scoperto che circa uno su cinque nomi di pacchetti consigliati dall'AI erano invenzioni. Anche GPT-4o, il modello attuale di punta di OpenAI, ha consigliato nomi di pacchetti allucinati a una velocità del 3,59% in quei test. I modelli open-source hanno avuto prestazioni peggiori: DeepSeek 1B, il miglior modello open-source testato, ha comunque raggiunto il 13,63%, rendendo gli strumenti AI open-source circa quattro volte più rischiosi su questa misura.
Le allucinazioni non sono casuali, il che è quello che le rende pericolose. I modelli tendono a inventare gli stessi nomi falsi ripetutamente. Un criminale che mappa quali nomi un modello popolare favorisce può registrare una manciata di pacchetti e aspettare che migliaia di sviluppatori li installino automaticamente.
Cosa dovrebbero effettivamente fare gli sviluppatori?
Il passo più semplice è anche il più efficace: prima che il tuo progetto installi un pacchetto che un AI consiglia, cercalo tu stesso nel registro ufficiale, come npmjs.com per JavaScript o PyPI per Python. Se non è lì, non usarlo.
I team possono andare oltre impostando controlli automatizzati, script che confrontano ogni nome di pacchetto in un progetto con il registro ufficiale prima che il codice venga rilasciato. I team di sicurezza dovrebbero anche tracciare le campagne di slopsquatting note allo stesso modo in cui tracciano i trend di phishing.
Più del 40% del codice che gli sviluppatori committano oggi include già assistenza AI, e quella percentuale sta aumentando. Più l'AI scrive codice senza revisione umana, più la porta si apre. La soluzione non è smettere di usare strumenti AI. È trattare il loro output come una prima bozza che ancora ha bisogno di un controllo di fatto di base.
Una sola frase di verifica può chiudere una porta che i criminali stanno attivamente spingendo.



