Вирус без хакера, троян без кода — Slopsquatting захватывает мир вайб-кодинга
NewsMakerРазработчик просто следовал подсказкам ИИ — и попал в киберловушку.
В сфере программирования с помощью искусственного интеллекта появилась новая угроза , получившая название «slopsquatting» . Эта атака стала особенно опасной на фоне стремительного роста популярности ИИ-ассистентов, таких как Claude Code CLI, OpenAI Codex CLI и Cursor AI, которые активно применяются разработчиками для автонаписания кода и автоматического подбора зависимостей.
В отличие от известных атак типа typosquatting, основанных на опечатках, slopsquatting использует галлюцинации самих ИИ-инструментов. Эти системы могут сгенерировать реалистично звучащие, но несуществующие имена библиотек — например, «starlette-reverse-proxy». Такие предложения выглядят достоверно и логично вписываются в рабочий контекст, поэтому разработчики зачастую не проверяют их вручную, особенно при быстром прототипировании и так называемом «Vibe Coding» .
Преступники заранее регистрируют вымышленные зависимости в публичных репозиториях, таких как PyPI, а затем внедряют в них вредоносный код. Если разработчик без дополнительной проверки запускает предложенную ИИ-команду установки, вредоносное ПО оказывается в системе.
Даже агенты, оснащённые механизмами онлайн-проверки, подвержены таким ошибкам. Тесты на сотне задач по веб-разработке показали, что крупные языковые модели нередко генерируют от двух до четырёх несуществующих пакетов за сессию, особенно при сложных запросах. Даже те, кто использует усовершенствованные логические модели, демонстрируют улучшения лишь наполовину — и то не во всех случаях.
Cursor AI, использующий серверы Model Context Protocol (MCP) для валидации в реальном времени, показал наименьшую частоту ложных зависимостей. Но и он не справился в ситуациях, где происходило заимствование имён между экосистемами или синтаксическая игра с морфемами. Эти единичные промахи открывают лазейки, которыми и пользуются злоумышленники.
Обычные меры предосторожности, вроде проверки наличия пакета в реестре, не обеспечивают надёжную защиту. Злоумышленники могут заранее занять нужное имя и создать визуально правдоподобную, но вредоносную библиотеку. Чтобы противодействовать slopsquatting, необходим комплексный подход к безопасности.
Организациям рекомендуется ввести криптографически подписанные SBOM (Software Bill of Materials), чтобы отслеживать происхождение всех зависимостей. Встроенные в CI/CD конвейеры инструменты анализа уязвимостей, такие как OWASP dep-scan , помогают выявлять потенциальные угрозы до развёртывания.
Кроме того, установка новых зависимостей должна выполняться в изолированных средах — таких как Docker-контейнеры или временные виртуальные машины — с минимальным доступом к внешним ресурсам. Это позволяет проверять код в песочнице, не подвергая риску основную инфраструктуру.
Дополнительные меры включают в себя ручное подтверждение установки незнакомых зависимостей, многослойную проверку подсказок от ИИ, мониторинг выполнения кода, использование неизменяемых базовых образов контейнеров и системную регистрацию всех действий в логах.
ИИ-ассистенты остаются мощным инструментом, но их склонность к генерации ложных фактов требует постоянного контроля. Совмещение технологий, строгих политик и человеческого надзора позволяет минимизировать риски и предотвратить масштабные сбои в разработке.
В сфере программирования с помощью искусственного интеллекта появилась новая угроза , получившая название «slopsquatting» . Эта атака стала особенно опасной на фоне стремительного роста популярности ИИ-ассистентов, таких как Claude Code CLI, OpenAI Codex CLI и Cursor AI, которые активно применяются разработчиками для автонаписания кода и автоматического подбора зависимостей.
В отличие от известных атак типа typosquatting, основанных на опечатках, slopsquatting использует галлюцинации самих ИИ-инструментов. Эти системы могут сгенерировать реалистично звучащие, но несуществующие имена библиотек — например, «starlette-reverse-proxy». Такие предложения выглядят достоверно и логично вписываются в рабочий контекст, поэтому разработчики зачастую не проверяют их вручную, особенно при быстром прототипировании и так называемом «Vibe Coding» .
Преступники заранее регистрируют вымышленные зависимости в публичных репозиториях, таких как PyPI, а затем внедряют в них вредоносный код. Если разработчик без дополнительной проверки запускает предложенную ИИ-команду установки, вредоносное ПО оказывается в системе.
Даже агенты, оснащённые механизмами онлайн-проверки, подвержены таким ошибкам. Тесты на сотне задач по веб-разработке показали, что крупные языковые модели нередко генерируют от двух до четырёх несуществующих пакетов за сессию, особенно при сложных запросах. Даже те, кто использует усовершенствованные логические модели, демонстрируют улучшения лишь наполовину — и то не во всех случаях.
Cursor AI, использующий серверы Model Context Protocol (MCP) для валидации в реальном времени, показал наименьшую частоту ложных зависимостей. Но и он не справился в ситуациях, где происходило заимствование имён между экосистемами или синтаксическая игра с морфемами. Эти единичные промахи открывают лазейки, которыми и пользуются злоумышленники.
Обычные меры предосторожности, вроде проверки наличия пакета в реестре, не обеспечивают надёжную защиту. Злоумышленники могут заранее занять нужное имя и создать визуально правдоподобную, но вредоносную библиотеку. Чтобы противодействовать slopsquatting, необходим комплексный подход к безопасности.
Организациям рекомендуется ввести криптографически подписанные SBOM (Software Bill of Materials), чтобы отслеживать происхождение всех зависимостей. Встроенные в CI/CD конвейеры инструменты анализа уязвимостей, такие как OWASP dep-scan , помогают выявлять потенциальные угрозы до развёртывания.
Кроме того, установка новых зависимостей должна выполняться в изолированных средах — таких как Docker-контейнеры или временные виртуальные машины — с минимальным доступом к внешним ресурсам. Это позволяет проверять код в песочнице, не подвергая риску основную инфраструктуру.
Дополнительные меры включают в себя ручное подтверждение установки незнакомых зависимостей, многослойную проверку подсказок от ИИ, мониторинг выполнения кода, использование неизменяемых базовых образов контейнеров и системную регистрацию всех действий в логах.
ИИ-ассистенты остаются мощным инструментом, но их склонность к генерации ложных фактов требует постоянного контроля. Совмещение технологий, строгих политик и человеческого надзора позволяет минимизировать риски и предотвратить масштабные сбои в разработке.