Une nouvelle classe d’attaques de la chaîne d’approvisionnement nommée « slopsquatting » est née de l’utilisation accrue d’outils d’IA générative pour le codage et de la tendance du modèle à « halluciner » des noms de paquets inexistants.
Le terme slopsquatting a été inventé par le chercheur en sécurité Seth Larson comme une variante du typosquatting, une méthode d’attaque qui incite les développeurs à installer des packages malveillants en utilisant des noms qui ressemblent étroitement à des bibliothèques populaires.
Contrairement au typosquattage, le slopsquattage ne repose pas sur des fautes d’orthographe. Au lieu de cela, les acteurs de la menace pourraient créer des packages malveillants sur des index tels que PyPI et npm nommés d’après ceux généralement constitués par des modèles d’IA dans des exemples de codage.
Un article de recherche sur les hallucinations de paquets publié en mars 2025 démontre que dans environ 20% des cas examinés (576 000 échantillons de code Python et JavaScript générés), les paquets recommandés n’existaient pas.
La situation est pire sur les LLM open source comme CodeLlama, DeepSeek, WizardCoder et Mistral, mais des outils commerciaux comme ChatGPT-4 hallucinaient toujours à un taux d’environ 5%, ce qui est significatif.
Alors que le nombre de noms de paquets hallucinés uniques enregistrés dans l’étude était important, dépassant les 200 000, 43% d’entre eux ont été constamment répétés à travers des invites similaires, et 58% sont réapparus au moins une fois de plus en dix essais.
L’étude a montré que 38% de ces noms de paquets hallucinés semblaient inspirés de vrais paquets, 13% étaient le résultat de fautes de frappe et le reste, 51%, étaient complètement fabriqués.
Bien qu’il n’y ait aucun signe que les attaquants aient commencé à tirer parti de ce nouveau type d’attaque, les chercheurs de la société de cybersécurité open source Socket avertissent que les noms de paquets hallucinés sont courants, reproductibles et sémantiquement plausibles, créant une surface d’attaque prévisible qui pourrait être facilement militarisée.
« Dans l’ensemble, 58% des paquets hallucinés ont été répétés plus d’une fois sur dix essais, ce qui indique que la majorité des hallucinations ne sont pas simplement du bruit aléatoire, mais des artefacts reproductibles de la façon dont les modèles répondent à certaines invites », expliquent les chercheurs de Socket.
« Cette répétabilité augmente leur valeur pour les attaquants, ce qui facilite l’identification de cibles viables de slopsquatting en observant seulement un petit nombre de sorties du modèle. »
La seule façon d’atténuer ce risque est de vérifier manuellement les noms des packages et de ne jamais supposer qu’un package mentionné dans un extrait de code généré par l’IA est réel ou sûr.
L’utilisation d’analyseurs de dépendances, de fichiers de verrouillage et de vérification de hachage pour épingler des packages à des versions connues et approuvées est un moyen efficace d’améliorer la sécurité
La recherche a montré que l’abaissement des paramètres de « température » de l’IA (moins aléatoire) réduit les hallucinations, donc si vous êtes dans le codage assisté par l’IA ou les vibrations, c’est un facteur important à considérer.
En fin de compte, il est prudent de toujours tester le code généré par l’IA dans un environnement sûr et isolé avant de l’exécuter ou de le déployer dans des environnements de production.