Uma nova classe de attacks em cadeias de suprimentos, denominada 'slopsquatting', surgiu com o aumento do uso de ferramentas de IA generativa para programação e a tendência do modelo em "alucinar" nomes de pacotes que não existem.
O termo slopsquatting foi criado pelo pesquisador de segurança Seth Larson, derivado do typosquatting, um método de ataque que engana desenvolvedores a instalar pacotes maliciosos usando nomes que se assemelham muito a bibliotecas populares.
Diferente do typosquatting, o slopsquatting não depende de erros de digitação.
Em vez disso, os atacantes podem criar pacotes maliciosos em índices como o PyPI e npm, nomeando-os com nomes comumente inventados por modelos de IA em exemplos de programação.
Um artigo de pesquisa sobre alucinações de pacotes, publicado em março de 2025, demonstra que, em aproximadamente 20% dos casos examinados (576.000 amostras de código Python e JavaScript geradas), os pacotes recomendados não existiam.
A situação é pior em LLMs de código aberto como CodeLlama, DeepSeek, WizardCoder e Mistral, mas ferramentas comerciais como o ChatGPT-4 ainda alucinaram em uma taxa de cerca de 5%, o que é significativo.
Embora o número de nomes únicos de pacotes alucinados registrados no estudo tenha sido grande, superando 200.000, 43% desses foram repetidamente mencionados em prompts similares, e 58% reapareceram pelo menos mais uma vez em dez execuções.
O estudo mostrou que 38% desses nomes de pacotes alucinados pareciam inspirados em pacotes reais, 13% foram resultados de erros de digitação, e o restante, 51%, foram completamente fabricados.
Embora não haja sinais de que os atacantes tenham começado a aproveitar esse novo tipo de ataque, pesquisadores da empresa de cibersegurança de código aberto Socket alertam que nomes de pacotes alucinados são comuns, repetíveis e semanticamente plausíveis, criando uma superfície de ataque previsível que poderia ser facilmente utilizada.
"No geral, 58% dos pacotes alucinados foram repetidos mais de uma vez ao longo de dez execuções, indicando que a maioria das alucinações não são apenas ruídos aleatórios, mas artefatos repetíveis de como os modelos respondem a certos prompts", explicam os pesquisadores da Socket.
Essa repetibilidade aumenta o valor deles para os atacantes, facilitando a identificação de alvos de slopsquatting viáveis ao observar apenas um pequeno número de saídas do modelo.
A única maneira de mitigar esse risco é verificar manualmente os nomes dos pacotes e nunca assumir que um pacote mencionado em um snippet de código gerado por IA é real ou seguro.
Usar scanners de dependência, lockfiles e verificação de hash para fixar pacotes a versões conhecidas e confiáveis é uma maneira eficaz de melhorar a segurança.
A pesquisa mostrou que diminuir as configurações de "temperatura" da IA (menos aleatoriedade) reduz alucinações, então, se você está envolvido com programação assistida por IA ou vibe coding, este é um fator importante a ser considerado.
Em última análise, é prudente sempre testar código gerado por IA em um ambiente seguro e isolado antes de executá-lo ou implantá-lo em ambientes de produção.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...