AI 幻覺捏造「假套件」全新 slopsquatting 攻擊風險浮現[轉載自INSIDE]

Photo Credit: Shutterstock

這項風險源自 AI 模型在產生程式碼時，經常引用其「想像中」的函式庫。研究也指出，隨著 vibe coding 的快速興起，slopsquatting 攻擊的威脅性正急劇攀升。

生成式 AI 協助撰寫程式碼蔚為風潮，但研究發現，AI 模型經常捏造出實際不存在的套件（package）名稱，成為駭客覬覦的新供應鏈攻擊面。一種名為「slopsquatting」的新型手法，正悄悄崛起。

安全研究員 Seth Larson 創造的術語「slopsquatting」，靈感來自於「typosquatting」（利用拼寫錯誤的攻擊）。傳統的 typosquatting 透過使用與熱門函式庫名稱相似的名稱，誘騙開發人員安裝惡意套件。

與 typosquatting 不同的是，slopsquatting 並非依賴拼寫錯誤。攻擊者可能會在 PyPI 和 npm 等套件索引上，以 AI 模型在程式碼範例中常常憑空捏造的名稱來建立惡意套件。根據開源資安公司 Socket 研究團隊指出，這些由 AI 幻覺生成的假套件名稱，具有高度可重現性與語意合理性，容易被駭客預測並註冊為釣魚套件，誘導開發者安裝惡意程式碼。

這項風險源自 AI 模型在產生程式碼時，經常引用其「想像中」的函式庫。一項在 2025 年 3 月發表的研究分析了 57 萬筆 Python 與 JavaScript 程式碼樣本，發現高達兩成的推薦套件實際不存在。

開源的大型語言模型如 CodeLlama、DeepSeek、WizardCoder 和 Mistral 的情況更為嚴重，而商業工具如 ChatGPT-4 雖然表現較佳，但仍有約 5% 的幻覺率，這個數字不容小覷。另外，GPT-4 Turbo 表現最好，幻覺率僅為 3.59%。

研究（論文 PDF）進一步指出，這些幻覺套件中，有 43% 曾在類似提示下反覆出現，另有 58% 在十次生成中再次現身。其中 38% 類似真實套件名稱、13% 是拼字錯誤，其餘 51% 則是 AI 完全憑空編造。

Socket 研究人員表示：「這些幻覺不是隨機雜訊，而是模型對某些輸入的可預測反應。駭客僅需觀察少數輸出結果，就能快速找到值得註冊的假套件名稱。」

研究也指出，隨著 AI 輔助「氛圍程式設計」（vibe coding）的快速興起，slopsquatting 攻擊的威脅性正急劇攀升，為軟體供應鏈帶來前所未有的安全挑戰。這是因為開發者在 vibe coding 流程中幾乎不會手動輸入或查詢套件名稱，遇到 AI 推薦的看似合理但實際不存在的套件時，往往會直接安裝並繼續工作。此類便利性導向的行為正是攻擊者可能利用的關鍵弱點。

目前尚無已知攻擊案例利用此手法，但專家呼籲開發者提高警覺，對 AI 產出的所有套件名稱應親自查證，絕不可盲目使用。同時，建議導入依賴掃描工具、lockfile 機制與雜湊驗證，鎖定安全可信的版本。

研究也建議，若想降低幻覺發生率，開發者可調降 AI 模型的「溫度參數」（temperature），減少其生成內容的隨機性。

最重要的一點：所有 AI 協助生成的程式碼，正式上線前都應先在隔離環境中測試，以防潛在風險擴散至正式系統。

責任編輯：Sisley
核稿編輯：Sherlock