Slopsquatting:AI 幻覺套件,把供應鏈攻擊變成複製貼上
2026 年最危險的資安風險,常常不是駭客「硬打」進來。
更常見的是開發者在趕工時,照著 AI 建議把一段指令複製貼上,然後整條 CI/CD 就把惡意程式一路送進 production。
這類攻擊近期被稱為 Slopsquatting(AI 幻覺套件攻擊)。概念不複雜,但效果非常好,因為它利用的是你最常做的一件事:信任工具、加快交付。
## Slopsquatting 在做什麼
這個攻擊模型可以拆成三步:
- 你問 AI(ChatGPT / Copilot 等)「怎麼解某個問題」。
- AI 在生成程式碼時,偶爾會捏造一個不存在的套件名稱(幻覺套件)。
- 攻擊者盯著這些常見的幻覺名稱,搶先在 npm / PyPI 等開源社群註冊同名套件,塞入惡意代碼。
接下來就看人類的習慣:開發者把安裝指令貼進終端機、按下 Enter。
供應鏈攻擊就完成了。
它可怕的地方在於:
- 防火牆、邊界防禦通常擋不到「你自己去下載」
- 你以為你在裝依賴,實際上在把木馬引進建置流程
- 一旦進入 CI/CD,惡意程式可以跟著你每一次部署擴散
## 為什麼這招在 AI 時代特別致命
在沒有 AI 的年代,開發者通常會:
- 先搜尋套件
- 看 README
- 看 GitHub 星數、維護頻率
- 看下載量
AI 讓流程變成:
- 先生成答案
- 先跑起來
- 之後再說
交付速度上升時,審查依賴的時間往往先被砍掉。
而且這類攻擊還有一個優勢:它不需要找漏洞,它只需要賭你會用複製貼上。
## 這不是「叫大家別用 AI」,而是把流程補齊
真正該做的不是禁用工具,而是把「依賴安裝」變成一個有欄位、有規則的流程。
我會建議至少做這幾件事(由簡到難):
### 1)把套件名稱當成不可信輸入
看到 AI 給的套件名,先做一個最基本的檢查:
- 到官方 registry 搜尋是否真的存在
- 看作者、維護時間、下載量
- 看 repo 是否合理
不要在不確認的狀態下直接裝。
### 2)把依賴鎖定與審查制度化
- 依賴版本固定(lockfile)
- PR 必須附上新增套件的理由與來源
- 對新套件做自動化掃描(SCA)
這些做起來不酷,但它們能把攻擊面收斂。
### 3)限制 CI/CD 的網路與權限
CI 是供應鏈攻擊最想進入的位置。
- 盡量減少 build 階段能連到的外網
- 把 secrets 權限最小化
- 對外部下載行為做記錄與告警
越是能執行自動化的地方,越要把權限鎖緊。
### 4)用 allowlist 思維管理套件來源
對大多數團隊來說,真正需要的套件數量沒有想像中多。
- 關鍵專案用 allowlist
- 必要時建立內部鏡像或私有 registry
讓「新增依賴」變成需要明確理由的事情。
## 結尾
Slopsquatting 的殘酷之處,是它把供應鏈攻擊的入口,移到你最常用的工作流。
它不是在找你系統的弱點,它是在找你的習慣。
AI 讓開發更快,也讓「一個錯誤依賴」更快被散播到整個組織。
在這個時代,真正的防線是把流程補齊:依賴要可追溯、CI 要可控、套件要可驗證。
#資安 #SupplyChainSecurity #Slopsquatting #DevSecOps #AI開發
