AI hallucinations lead to a new cyber threat: Slopsquatting
a year ago
- #AI
- #SupplyChainAttack
- #Cybersecurity
- 研究人员警告'Slopsquatting'攻击——一种利用AI生成虚假软件包推荐的新型供应链攻击
- GPT-4、CodeLlama和DeepSeek等AI模型会虚构不存在的软件包,19.7%的推荐内容为虚假
- 开源AI模型虚构包频率(21.7%)显著高于商业模型(5.2%)
- 攻击者可注册这些虚构包名分发恶意代码,造成广泛安全风险
- 虚构包具有持续性(43%在测试中重复出现)和语义欺骗性(38%与真实包名称相似)
- 专家建议开发者使用依赖项扫描工具,并避免仓促进行安全测试以降低风险