📣 Envoyez-nous votre communiqué de presse
Site mis à jour toutes les 15 minutes
Technologie

Les outils de codage IA introduisent une nouvelle menace dans la chaîne d'approvisionnement logicielle : le slopsquatting

Avec la prolifération des assistants de codage IA, une nouvelle menace appelée 'slopsquatting' a émergé. Cette attaque exploite les 'hallucinations' de l'IA pour injecter du code malveillant dans les chaînes d'approvisionnement logicielles.

11 juillet 2026
Les outils de codage IA introduisent une nouvelle menace dans la chaîne d'approvisionnement logicielle : le slopsquatting

Le slopsquatting représente une menace émergente pour les chaînes d'approvisionnement logicielles, alimentée par la dépendance croissante aux assistants de codage IA. À mesure que les développeurs intègrent ces outils dans leurs flux de travail, ils risquent d'accorder involontairement l'accès à leurs logiciels aux cybercriminels en acceptant des suggestions de paquets logiciels générées par l'IA mais fictives.

Ce vecteur d'attaque exploite la tendance des grands modèles de langage (LLM) à « halluciner » ou à générer des noms de paquets logiciels plausibles mais inexistants. Les acteurs malveillants peuvent enregistrer ces noms « halluciné » et les remplir de logiciels malveillants. Lorsqu'un assistant IA suggère un tel paquet fictif, un développeur pourrait l'intégrer directement dans sa base de code, incorporant ainsi involontairement du code malveillant.

Contrairement au typosquatting traditionnel, qui repose sur des fautes de frappe simples dans les noms de paquets légitimes, le slopsquatting exploite la tendance de l'IA à inventer des noms de paquets entièrement nouveaux, mais crédibles. Les mesures de sécurité existantes conçues pour détecter les erreurs mineures pourraient ne pas identifier ces noms fabriqués, rendant l'attaque plus insidieuse.

La recherche indique que la vulnérabilité à ces erreurs de noms de paquets générés par l'IA varie entre les différents modèles d'IA. Les modèles propriétaires ont montré un taux inférieur de génération de paquets halluciné par rapport aux alternatives open-source. Il est fortement recommandé aux développeurs de vérifier méticuleusement toutes les suggestions de code générées par l'IA pour atténuer le risque d'introduction de logiciels malveillants dans leurs systèmes.

Source originale: venturebeat.com