Technologie einfach erklärt

Was ist Slopsquatting und wie kann man es vermeiden

Code auf einem Computerbildschirm.

Wenn Sie diesen unangenehm klingenden Begriff gesehen haben, fragen Sie sich wahrscheinlich, was Slopsquatting ist und wie es Sie genau betreffen könnte. Dieser unangenehme Angriff ist nicht leicht zu erkennen, aber es gibt Möglichkeiten, ihn zu vermeiden, um sich sicherer zu fühlen.

Was ist Slopsquatting

Es beginnt alles mit KI-Halluzinationen, das sind Dinge, die KI sich ausdenkt. Im Hinblick auf Slopsquatting schlagen KI-Tools Open-Source-Pakete vor, die tatsächlich nicht existieren, damit Entwickler sie in ihrem Code verwenden können.

Cyberkriminelle haben entdeckt, dass KI-Halluzinationen oft wiederholt werden. Sie nutzen diesen Fehler aus, indem sie bösartige Pakete mit diesen halluzinierten Namen erstellen und sie auf vertrauenswürdige Code-Repository-Hosts wie GitHub hochladen. Wenn Entwickler ihre bevorzugte KI-Plattform bitten, ein Open-Source-Paket vorzuschlagen, schlägt der Chatbot einen der halluzinierten Namen vor, die Cyberkriminelle verwenden.

ChatGPT nach Code-Paketvorschlägen fragen.

Das Ergebnis ist, dass Entwickler diese bösartigen Pakete in ihre Software einfügen. Sobald es ausgeführt wird, ist der Schaden angerichtet und die Angreifer erhalten Zugriff auf alle Geräte, auf denen der Code ausgeführt wird.

Obwohl das nicht wie ein großes Problem klingt, fand eine Studie heraus, dass von 16 großen KI-Modellen zur Codegenerierung fast 20 Prozent der empfohlenen Pakete nicht existierten. Noch schlimmer ist, dass 43 Prozent der halluzinierten Paketnamen bei 10 Durchläufen mit demselben Prompt jedes Mal wiederholt wurden. Das macht es Cyberkriminellen viel einfacher, Namen auszuwählen und ihre bösartigen Pakete wiederholt vorgeschlagen und verwendet zu bekommen.

In der Studie war CodeLlama der schlimmste Übeltäter. Auf der anderen Seite hatte GPT-4 Turbo die wenigsten Halluzinationen. Nur weil das Risiko geringer ist, bedeutet das jedoch nicht, dass Sie völlig sicher sind.

Dinge, auf die Sie achten sollten

Egal, ob Sie ein professioneller, gelegentlicher oder völlig unerfahrener Entwickler sind, Sie sind dem Risiko des Slopsquattings ausgesetzt. Es ist tatsächlich eine Form des Typosquattings, bei der nur ein einzelner Buchstabe der einzige Unterschied zwischen einer legitimen, sicheren Domain und einer bösartigen ist. Aber genau wie beim Typosquatting ist Slopsquatting vermeidbar, wenn Sie auf diese fünf Dinge achten:

  1. Leicht falsch geschriebene Paketnamen – Dieses Warnsignal ist keine Garantie, insbesondere da die Mehrheit der halluzinierten Paketnamen keine Tippfehler aufweist. Wenn Sie jedoch etwas falsch geschrieben bemerken, denken Sie zweimal nach, bevor Sie es verwenden.
  2. Mangel an Diskussionen oder Feedback – Pakete mit wenig bis gar keinen Diskussionen sind möglicherweise nicht die sichersten zu verwenden. Es könnte einfach bedeuten, dass sie brandneu sind. Oder es könnte signalisieren, dass es sich um ein gefälschtes Paket handelt, das auf KI-Vorschlägen basiert, damit Entwickler es finden und unschuldig verwenden.
  3. Warnungen von anderen Entwicklern – Ich weiß, es ist einfach, sich nur auf die Vorschläge der KI zu verlassen, aber nehmen Sie sich einen Moment Zeit, um zusätzliche Recherchen anzustellen. Verwenden Sie Ihre bevorzugte Suchmaschine und sehen Sie, was andere über Paketvorschläge sagen, bevor Sie sie selbst verwenden.
  4. Nicht von anderen Plattformen empfohlen – Wenn möglich, versuchen Sie, dieselben oder ähnliche Prompts auf mehreren KI-Coding-Plattformen. Wenn ein Paket selten oder nie empfohlen wird, könnte das ein großes Zeichen für Slopsquatting sein.
  5. Verwirrende Beschreibungen – Es wird immer üblicher, dass Entwickler sich auf “Vibe-Coding” verlassen, was bedeutet, dass sie Vorschläge einfach akzeptieren, ohne sie zu überprüfen. Dennoch haben bösartige Pakete oft verwirrende Beschreibungen auf den Seiten, auf denen sie gehostet werden.

Sie können auch gängige Slopsquatting-Pakete, die bereits in der Wildnis identifiziert wurden, vermeiden, indem Sie Ihre bevorzugte KI-Plattform nach einer Liste fragen.

Liste der Slopsquatting-Pakete von ChatGPT.

Die wichtigsten Vorsichtsmaßnahmen

Selbst wenn Sie wissen, worauf Sie achten müssen, ist Slopsquatting in vielen Fällen immer noch schwer zu erkennen. Da es so neu ist, wird es Zeit brauchen, bis Sicherheitsexperten einen zuverlässigen Prozess entwickeln, um bösartige Pakete zu identifizieren und zu beseitigen. Viele KI-Plattformen versuchen auch, ihre Modelle zu trainieren, um halluzinierte Namen/Pakete zu erkennen und Entwickler vor der Verwendung zu warnen.

Bis diese Dinge geschehen, haben Sie drei Möglichkeiten, um zu verhindern, dass ein bösartiges Paket Ihre Software und alle Geräte, auf denen es installiert sein könnte, ruiniert.

Das Wichtigste ist, Ihren Code immer in einer sicheren Sandbox-Umgebung auszuführen. VirtualBox und VMWare sind zwei der beliebtesten virtuellen Maschinen und sie sind kostenlos zu verwenden. Es gibt auch cloudbasierte Sandbox-Umgebungen, obwohl die meisten nur einige Sprachen unterstützen. Replit ist ein Favorit, da es über 50 Sprachen unterstützt.

Die zweite Möglichkeit ist, ein Scanning-Tool zu verwenden, um zu überprüfen, ob ein Paket sicher ist oder nicht. Ich habe festgestellt, dass die Socket Web Extension eine der einfachsten Optionen ist. Sie ist kostenlos und funktioniert auf zahlreichen Seiten, um zu scannen, bevor Sie etwas herunterladen. Derzeit ist sie für Chrome-basierte Browser und Firefox verfügbar.

Wie man verhindert, dass Microsoft Teams im Desktop-Update-Menü blockiert wird

Schließlich sollten Sie immer alles überprüfen, was die KI vorschlägt. Je mehr Sie sich auf KI verlassen, desto einfacher ist es für Cyberkriminelle, dies auszunutzen. Verwenden Sie KI zur Unterstützung beim Programmieren, aber überprüfen Sie alle Vorschläge, bevor Sie sie verwenden.

Wenn Sie Opfer von Slopsquatting werden, lassen Sie es andere Entwickler wissen. Posten Sie Warnungen in sozialen Medien, Reddit und Repository-Hosts. Kontaktieren Sie den Support der KI-Plattform, die Sie verwenden, um den Namen des bösartigen Pakets zu melden, um die KI-Modelle besser zu trainieren. Die Informationen weiterzugeben hilft anderen, sich zu schützen.

Inhalt

  1. Was ist Slopsquatting
  2. Dinge, auf die Sie achten sollten
  3. Die wichtigsten Vorsichtsmaßnahmen
Ello-dashboardprofile

Ello: Das Private Soziale Netzwerk Erforschen

Bitdefender installiert nicht: 3 einfache Lösungen, die Sie verwenden können

Mehr über Bitdefender Fixes

Google stellt Inbox ein und gibt ihm sechs Monate zu leben

seitenverhaeltnisse-16x9

Verstehen von Video-Seitenverhältnissen

Dateimanager mit Tags zur Organisation Ihrer Dateien: Top 5

Wake-on-LAN funktioniert nicht

Wake On LAN funktioniert nicht unter Windows [Gelöst]

easycap-mac-mspacman-console

Verwendung von EasyCAP zum Erfassen von VHS und Konsolen auf dem Mac

Google testet neue Chrome-Funktion zur Upgrade-Berechtigung für Windows 11