KI-Codierungswerkzeuge schaffen neue Bedrohung in Software-Lieferketten: Slopsquatting
Mit der zunehmenden Verbreitung von KI-Codierungsassistenten ist eine neue Bedrohung namens 'Slopsquatting' entstanden. Dieser Angriff nutzt KI-'Halluzinationen', um bösartigen Code in Software-Lieferketten einzuschleusen.

Slopsquatting stellt eine aufkommende Bedrohung für Software-Lieferketten dar, die durch die zunehmende Abhängigkeit von KI-Codierungsassistenten angetrieben wird. Da Entwickler diese Werkzeuge zunehmend in ihre Arbeitsabläufe integrieren, besteht das Risiko, dass Cyberkriminelle unwissentlich Zugang zu ihrer Software erhalten, indem sie KI-generierte, aber fiktive Vorschläge für Softwarepakete akzeptieren.
Dieser Angriffsvektor nutzt die Tendenz großer Sprachmodelle (LLMs), zu "halluzinieren" oder plausible, aber nicht existierende Namen für Softwarepakete zu generieren. Angreifer können diese halluzinierten Namen registrieren und sie mit Malware bestücken. Wenn ein KI-Assistent ein solches fiktives Paket vorschlägt, könnte ein Entwickler es unwissentlich direkt in seine Codebasis integrieren und damit bösartigen Code einschleusen.
Im Gegensatz zu traditionellem Typosquatting, das auf einfachen Tippfehlern bei legitimen Paketnamen beruht, nutzt Slopsquatting die Neigung der KI, völlig neue, aber glaubwürdige Paketnamen zu erfinden. Bestehende Sicherheitsmaßnahmen, die zur Erkennung kleiner Fehler dienen, erfassen diese erfundenen Namen möglicherweise nicht, was den Angriff heimtückischer macht.
Forschungen deuten darauf hin, dass die Anfälligkeit für diese KI-generierten Paketfehler zwischen verschiedenen KI-Modellen variiert. Proprietäre Modelle haben eine geringere Rate bei der Generierung halluzinierter Pakete gezeigt als Open-Source-Alternativen. Entwickler werden dringend aufgefordert, alle von der KI generierten Codevorschläge sorgfältig zu überprüfen, um das Risiko der Einschleusung von Malware in ihre Systeme zu mindern.