Alucinações de IA ampliam o risco de ataques do tipo “slopsquatting”

Essa é uma técnica em que indivíduos mal-intencionados registram pacotes inexistentes em repositórios como PyPI ou NPM após perceberem que a IA sugeriu nomes incorretos durante a geração de código. Ao introduzir código malicioso nesses pacotes, os invasores esperam que desenvolvedores, ao confiar no conteúdo gerado pela IA, acabem instalando essas dependências falsas sem perceber.

Esse tipo de ataque se diferencia do “typosquatting”, que explora erros de digitação, já que aqui o vetor de ataque é a confiança excessiva no código proposto pela IA.

Em um experimento, 16 modelos — incluindo GPT-4, DeepSeek e Mistral — foram analisados a partir de mais de 576 mil trechos de código gerados. Os resultados indicam que 19,7% dos pacotes sugeridos não existiam. Modelos open-source apresentaram uma taxa média de erro de 21,7%, enquanto modelos comerciais registraram 5,2%. O GPT-4 Turbo foi o mais preciso, com apenas 3,5% de sugestões incorretas.

Os pesquisadores também identificaram que esses nomes falsos não surgem de forma totalmente aleatória. Há padrões repetitivos, o que reforça a previsibilidade desse comportamento.

Em alguns casos, a IA chega a confundir pacotes de diferentes ecossistemas, como sugerir um nome do NPM em projetos escritos em Python.

Modelos como GPT-4 Turbo e DeepSeek demonstraram uma certa capacidade de autoverificação, conseguindo identificar pacotes fictícios que elas próprias criaram em mais de 75% das situações.

O risco se intensifica com a popularização do “vibe coding” — abordagem em que o desenvolvedor descreve o que deseja e permite que a IA escreva o código, reduzindo a validação manual e tornando o processo mais suscetível a ataques desse tipo.

Diante desse cenário, recomenda-se o uso de ferramentas de segurança que realizam a verificação automática de pacotes antes de sua utilização.