V-Help
← 全部新闻
安全

Slopsquatting:AI幻觉引发的软件供应链新威胁

Slopsquatting:AI幻觉引发的软件供应链新威胁

图片: images.ctfassets.net

简要回答

Slopsquatting是一种新兴的网络安全威胁,源于AI编码工具的幻觉问题。攻击者注册LLM推荐的虚假软件包,植入恶意代码,最终进入开发者项目中。

一种名为Slopsquatting的新威胁正在影响开发者,其根源在于大型语言模型(LLM)的工作机制。这些用于AI编码助手的模型有时会生成听起来合理但实际不存在的虚假软件包名称。攻击者注册这些包并填充恶意代码,通过AI推荐进入开发者项目。

与传统的Typosquatting(利用热门库名称的拼写错误,如将「cross-env」写成「crossenv」)不同,Slopsquatting依赖完全虚构的名称。这使得攻击难以被发现,因为安全系统无法识别这些包为潜在威胁。例如,仓库可能会拦截拼写错误的包,但不会注意到「mpn install cross-env file」或「cross-env-extended」等虚构名称。

研究显示,开源软件的漏洞数量每年增长98%,平均漏洞存在时间延长了85%。这意味着恶意软件包可能在生产环境中潜伏数月甚至数年。使用开源LLM的开发者尤其容易受到攻击,因为这些模型生成虚假包的频率是专有模型的四倍。例如,GPT-4.0 Turbo的幻觉率为3.59%,而开源模型DeepSeek 1B的幻觉率高达13.63%。

为降低风险,专家建议开发者在使用前验证AI推荐的所有软件包是否存在于官方仓库。自动化检查和监控异常包安装也有助于在早期发现潜在威胁。此外,及时关注威胁更新并使用最新的Slopsquatting攻击情报同样重要。

常见问题

什么是Slopsquatting?
Slopsquatting是一种网络攻击手段,攻击者利用AI幻觉生成虚假软件包名称,注册并填充恶意代码,通过AI助手的推荐进入开发者项目。
为什么AI会生成虚假软件包?
大型语言模型(LLM)基于统计概率而非精确性运作,幻觉现象普遍存在,发生率在23%至82%之间,具体取决于模型。这为攻击者提供了可乘之机。
如何防范Slopsquatting?
开发者应在使用前验证AI推荐的所有软件包是否存在于官方仓库。自动化检查和监控异常包安装也能有效降低风险。
分享:

Dzen 订阅: /feed/dzen.xml · RSS: /feed.xml

为何可信

本文由 V-Help 编辑部根据一手来源整理,并标注发布日期。

发布: V-Help.ru 新闻编辑部

来源: VentureBeat