软件供应链新威胁：AI幻觉催生“Slopsquatting“攻击

网络安全研究人员警告称，AI生成的虚假软件包名称可能被攻击者利用，形成新型软件供应链攻击"Slopsquatting"。

美国德克萨斯大学圣安东尼奥分校、弗吉尼亚理工大学和俄克拉荷马大学的研究团队发现，当开发者使用生成式AI（如大语言模型LLMs）编写代码时，AI可能会推荐不存在的软件包——这种现象被称为"包幻觉"(package hallucination)。攻击者可趁机注册这些虚构名称来传播恶意代码。

攻击原理：AI幻觉成为攻击跳板

Python软件基金会(PSF)安全开发者Seth Larson将这种攻击命名为"Slopsquatting"，因其与传统的"typosquatting"（域名抢注）攻击类似。但不同于依赖用户拼写错误的传统方式，Slopsquatting利用的是AI模型的输出错误。

研究显示，这些AI虚构的软件包名称往往具有高度可信性且重复出现——约38%的幻觉包名与真实包名相似，仅13%属于简单拼写错误。这使得开发者更容易不加验证就直接使用。

惊人数据：五分之一AI推荐包实为伪造

通过对16个代码生成模型的测试发现：

• 平均20%的AI推荐软件包属于伪造
• 开源模型（如DeepSeek、WizardCoder）幻觉率高达21.7%
• 商业模型表现较好，GPT-4 Turbo仅3.59%的幻觉率
• CodeLlama表现最差，超过三分之一推荐存在错误

特别值得警惕的是，在Python和JavaScript等严重依赖中央包仓库的编程生态中，这种威胁尤为严重。

攻击可行性：幻觉包名具有高度可复现性

实验重复执行500次曾触发包幻觉的提示词，结果显示：

• 43%的案例中，相同幻觉连续出现10次
• 58%的幻觉会在多次测试中重复出现
• 这种可预测性使攻击者能精准布局恶意包

研究人员指出，当前AI模型缺乏足够的安全测试是主因。虽然尚未发现实际攻击案例，但该技术已具备现实威胁的所有要素。开发社区需提高警惕，对AI生成的代码建议保持审慎态度。