Slopsquatting: a ameaça oculta nos assistentes de codificação de IA

Quando assistentes de IA inventam pacotes de software que não existem, criminosos registam esses nomes e preenchem-nos com malware. Eis como funciona o ataque e o que os programadores podem fazer a respeito.

AI2Day Newsdesk· 3 min read
Photoreal news-editorial style, 16:9 framing, edge-to-edge composition
Share

Pontos-chave

  • Slopsquatting é um ataque à cadeia de fornecimento que explora assistentes de codificação de IA inventando nomes de pacotes de software fictícios, que criminosos depois registam e preenchem com código malicioso.
  • Um estudo de 576 mil amostras de código geradas por IA descobriu que 19,7% dos pacotes de software que a IA recomendou não existem.
  • O GPT-4o Turbo, modelo da OpenAI, alucinava nomes de pacotes fictícios a uma taxa de 3,59%, enquanto modelos de código aberto atingiram taxas acima de 13%.
  • As vulnerabilidades de software reportadas cresceram 98% anualmente em investigações recentes, quase quatro vezes mais do que o crescimento anual de 25% no número de pacotes de código aberto.
  • Os programadores podem reduzir o risco verificando que cada pacote que a IA recomenda existe efetivamente num registo oficial antes de o instalar.

Sempre que um programador pede a um assistente de codificação de IA para escrever software, a IA pode casualmente recomendar um pacote, um conjunto pré-compilado de código que outros programadores partilham gratuitamente online, que simplesmente não existe. A IA inventou-o. Isto parece inofensivo até descobrir que criminosos estão à procura precisamente disto.

O ataque chama-se slopsquatting. O nome combina "AI slop", gíria da internet para produção de IA de má qualidade, com "typosquatting", um truque antigo em que criminosos registam nomes de website ou pacotes que parecem ser o original mas contêm um erro de ortografia deliberado. Slopsquatting vai mais longe: o nome falso nunca foi uma má ortografia de nada. A IA criou-o do zero.

Eis como acontece. Um programador pede ao seu assistente de IA, digamos GitHub Copilot ou ChatGPT, para adicionar uma funcionalidade à sua aplicação. A IA escreve código que funciona e importa um pacote chamado algo como "cross-env-extended". O programador executa-o. O seu computador obtém esse pacote da internet e instala-o. Se um criminoso registou esse nome primeiro e o carregou com malware, o programador acabou de entregar as chaves.

As defesas que existem hoje não cobrem isto. Os registos de pacotes, as bibliotecas online onde os programadores obtêm código, já bloqueiam erros óbvios de pacotes populares. Apanhariam "crossenv" como uma versão falsa de "cross-env". Não têm forma de assinalar "cross-env-extended" porque o nome parece perfeitamente legítimo.

A escala do problema é preocupante. Um estudo citado pela VentureBeat analisou quase 576 mil amostras de código geradas por IA e descobriu que aproximadamente um em cada cinco nomes de pacotes que a IA recomendou eram fabricações. Até o GPT-4o, o modelo emblemático atual da OpenAI, recomendou nomes de pacotes alucinados a uma taxa de 3,59% nesses testes. Os modelos de código aberto tiveram pior desempenho: DeepSeek 1B, o melhor modelo de código aberto testado, ainda atingiu 13,63%, tornando as ferramentas de IA de código aberto aproximadamente quatro vezes mais arriscadas nesta medida.

As alucinações não são aleatórias, o que é precisamente o que as torna perigosas. Os modelos tendem a inventar repetidamente os mesmos nomes falsos. Um criminoso que mapeie quais os nomes que um modelo popular favorece pode registar um punhado de pacotes e esperar que milhares de programadores os instalem automaticamente.

O que os programadores devem realmente fazer?

O passo mais simples é também o mais eficaz: antes do seu projeto instalar qualquer pacote que a IA recomenda, procure-o você próprio no registo oficial, como npmjs.com para JavaScript ou PyPI para Python. Se não estiver lá, não o use.

As equipas podem ir mais longe configurando verificações automatizadas, scripts que comparam cada nome de pacote num projeto contra o registo oficial antes do código ser entregue. As equipas de segurança devem também acompanhar campanhas conhecidas de slopsquatting da mesma forma que acompanham tendências de phishing.

Mais de 40% do código que os programadores entregam atualmente já inclui assistência de IA, e essa proporção está a aumentar. Quanto mais a IA escreve código sem revisão humana, mais larga fica a brecha. A solução não é deixar de usar ferramentas de IA. É tratar o seu resultado como um rascunho que ainda precisa de uma verificação básica de facts.

Uma frase de verificação pode fechar uma porta que criminosos estão ativamente a tentar abrir.

© 2026 AI2Day