网络安全研究人员发出警告,一种名为“Slopsquatting”的新型软件供应链攻击正浮出水面。该攻击利用生成式 AI(如 LLMs)在代码编写时可能产生的“包幻觉”——即推荐不存在的软件包名称——的漏洞。攻击者可以抢先注册这些虚构的名称,并植入恶意代码。
图源备注:图片由AI生成,图片授权服务商Midjourney
研究团队发现,AI 虚构的软件包名称往往具有高度可信性和重复性,约38% 的幻觉包名与真实包名相似,仅13% 是简单拼写错误,这使得开发者在不加验证的情况下更容易直接采用。
通过对16个代码生成模型的测试,研究人员发现平均20% 的 AI 推荐软件包是伪造的。开源模型的幻觉率更高,例如 DeepSeek 和 WizardCoder 高达21.7%,而商业模型如 GPT-4Turbo 的幻觉率相对较低,为3.59%。CodeLlama 的表现最差,超过三分之一的推荐存在错误。这种威胁在依赖中央包仓库的 Python 和 JavaScript 等生态系统中尤为严重。
实验表明,AI 的“包幻觉”具有高度可复现性,高达43% 的案例中,相同的幻觉连续出现10次,58% 的幻觉会在多次测试中重复出现,这为攻击者精准布局恶意软件包提供了便利。
研究人员认为,当前 AI 模型缺乏足够的安全测试是造成这一问题的主要原因。尽管尚未发现实际的 Slopsquatting 攻击案例,但该技术已具备现实威胁的所有要素。他们呼吁开发社区提高警惕,对 AI 生成的代码建议保持审慎态度,务必进行验证,以防成为新型软件供应链攻击的受害者。
