Slopsquatting: la nuova minaccia alle catene di fornitura
Slopsquatting rappresenta una minaccia emergente alle catene di fornitura software creata dalle ‘allucinazioni’ dei modelli di intelligenza artificiale (AI). Questo nuovo tipo di attacco sfrutta la tendenza degli AI ad generare nomi di pacchetti software fittizi, consentendo ai cattivi attori di inserire codice malicioso nel flusso di lavoro del sviluppo. Con l’aumento dell’uso di assistenti di codifica basati su AI, gli sviluppatori sono esposti a rischi imprevisti.

Rischi concreti
Le allucinazioni degli AI possono generare nomi di pacchetti che sembrano plausibili ma in realtà non corrispondono ad alcuna libreria o componente esistente. Gli attaccanti possono quindi registrare questi nomi e popolarli con malware, introducendo codice malicioso direttamente nel codice sorgente dei progetti sviluppati utilizzando assistenti basati su AI.
Una ricerca ha analizzato 31.267 vulnerabilità in 14.675 pacchetti software su dieci linguaggi di programmazione diversi, evidenziando un aumento annuale del 98% delle vulnerabilità riscontrate, molto superiore all’aumento annuale del 25% nel numero totale di pacchetti open-source.
Per esempio, una ricerca condotta da un team di ricercatori ha analizzato 30 sistemi diversi e ha scoperto che il modello GPT-4.0 Turbo aveva una tasso di allucinazione del 3,59%, mentre DeepSeek 1B, uno dei modelli open-source più performanti, registrava un tasso di allucinazione del 13,63%.
| Modello | Tasso di Allucinazione (%) |
| GPT-4.0 Turbo | 3,59 |
| DeepSeek 1B | 13,63 |
Via: VentureBeat