Tecnologie spiegate in parole semplici

Cos'è lo Slopsquatting e Come Evitarlo

Codice su uno schermo del computer.

Se hai visto questo termine sgradevole circolare, ti starai probabilmente chiedendo cos’è lo slopsquatting e come potrebbe influenzarti. Questo attacco sgradevole non è facile da individuare, ma ci sono modi per evitarlo e mantenerti al sicuro.

Cos’è lo Slopsquatting

Tutto inizia con le allucinazioni dell’IA, che sono cose che l’IA inventa. Ai fini dello slopsquatting, gli strumenti di IA suggeriscono pacchetti open source che in realtà non esistono per gli sviluppatori da utilizzare nel loro codice.

I criminali informatici hanno scoperto che le allucinazioni dell’IA spesso si ripetono. Sfruttano questo difetto creando pacchetti malevoli utilizzando questi nomi allucinati e li caricano su host di repository di codice fidati come GitHub. Quando gli sviluppatori chiedono alla loro piattaforma IA preferita di suggerire un pacchetto open source, il chatbot suggerisce uno dei nomi allucinati che i criminali informatici stanno utilizzando.

Chiedere a ChatGPT suggerimenti per pacchetti di codice.

Il risultato è che gli sviluppatori stanno inserendo questi pacchetti malevoli nel loro software. Una volta eseguito, il danno è fatto e gli aggressori ottengono accesso a qualsiasi dispositivo su cui il codice viene eseguito.

Anche se questo potrebbe non sembrare un problema grave, uno studio ha scoperto che su 16 modelli di generazione di codice IA principali, quasi il 20% dei pacchetti raccomandati non esisteva. Ancora peggio, il 43% dei nomi di pacchetti allucinati si ripeteva ogni volta su 10 esecuzioni con lo stesso prompt. Questo rende molto più facile per i criminali informatici scegliere nomi e far sì che i loro pacchetti malevoli vengano suggeriti e utilizzati ripetutamente.

Nello studio, CodeLlama è stato il peggiore colpevole. D’altra parte, GPT-4 Turbo ha avuto le meno allucinazioni. Solo perché il rischio è minore non significa che tu sia completamente al sicuro, però.

Cose a cui Devi Prestare Attenzione

Che tu sia uno sviluppatore professionista, occasionale o completamente principiante, sei a rischio di slopsquatting. È in realtà una forma di typosquatting, dove una singola lettera è l’unica differenza tra un dominio legittimo e sicuro e uno malevolo. Ma, proprio come il typosquatting, lo slopsquatting è evitabile se fai attenzione a queste cinque cose:

  1. Nomi dei pacchetti leggermente errati – Questo campanello d’allarme non è una garanzia, specialmente poiché la maggior parte dei nomi dei pacchetti allucinati non ha errori di battitura. Tuttavia, se noti qualcosa di scritto male, pensa due volte prima di usarlo.
  2. Mancanza di discussioni o feedback – I pacchetti con poche o nessuna discussione potrebbero non essere i più sicuri da usare. Potrebbe semplicemente significare che sono nuovissimi. Oppure, potrebbe segnalare che è un pacchetto falso che si basa sui suggerimenti dell’IA per essere trovato e utilizzato innocuamente dagli sviluppatori.
  3. Avvisi da altri sviluppatori – So che è facile fare affidamento sui suggerimenti dell’IA, ma prenditi un momento per fare qualche ricerca in più. Usa il tuo motore di ricerca preferito e vedi cosa dicono gli altri riguardo a qualsiasi suggerimento di pacchetto prima di usarli tu stesso.
  4. Non raccomandato da altre piattaforme – Se possibile, prova gli stessi o simili prompt su più piattaforme di codifica IA. Se un pacchetto è raramente o mai raccomandato, potrebbe essere un segnale importante di slopsquatting.
  5. Descrizioni confuse – Sta diventando sempre più comune per gli sviluppatori fare affidamento sulla “codifica d’atmosfera”, il che significa che accettano semplicemente suggerimenti senza alcuna verifica. Tuttavia, i pacchetti malevoli spesso hanno descrizioni confuse sui siti su cui sono ospitati.

Puoi anche evitare pacchetti di slopsquatting comuni già identificati nel mondo semplicemente chiedendo alla tua piattaforma IA preferita un elenco.

Elenco dei pacchetti di slopsquatting da ChatGPT.

Le Precauzioni Più Importanti

Anche quando sai cosa cercare, lo slopsquatting è ancora difficile da individuare in molti casi. Poiché è così nuovo, ci vorrà del tempo prima che gli esperti di sicurezza sviluppino un processo affidabile per identificare ed eliminare pacchetti malevoli. Molte piattaforme IA stanno anche cercando di addestrare i loro modelli a riconoscere nomi/pacchetti allucinati e avvisare gli sviluppatori prima di usarli.

Fino a quando queste cose non accadranno, hai tre modi per prevenire che un pacchetto malevolo rovini il tuo software e qualsiasi dispositivo su cui potrebbe essere installato.

La cosa più importante è eseguire sempre il tuo codice in un ambiente sicuro e isolato. VirtualBox e VMWare sono due delle macchine virtuali più popolari e sono gratuite da usare. Ci sono anche ambienti sandbox basati su cloud, anche se la maggior parte supporta solo pochi linguaggi. Replit è un favorito poiché supporta oltre 50 linguaggi.

Il secondo è utilizzare uno strumento di scansione per verificare se un pacchetto è sicuro o meno. Ho trovato l’estensione Socket Web essere una delle opzioni più facili da usare. È gratuita e funziona su numerosi siti per scansionare prima di scaricare qualsiasi cosa. Attualmente, è disponibile per i browser basati su Chrome e Firefox.

Come evitare che Microsoft blocchi Teams nel menu di aggiornamento desktop

Infine, verifica sempre qualsiasi cosa suggerita dall’IA. Più fai affidamento sull’IA, più è facile per i criminali informatici approfittarne. Usa l’IA per assisterti nella codifica, ma verifica qualsiasi e tutti i suggerimenti prima di usarli.

Se diventi vittima di slopsquatting, fai sapere ad altri sviluppatori. Pubblica avvisi sui social media, Reddit e host di repository. Contatta il supporto per la piattaforma IA che stai utilizzando per segnalare il nome del pacchetto malevolo per aiutare a formare meglio i modelli di IA. Diffondere l’informazione aiuta gli altri a proteggersi.

Contenuto

  1. Cos'è lo Slopsquatting
  2. Cose a cui Devi Prestare Attenzione
  3. Le Precauzioni Più Importanti
Ello-dashboardprofile

Ello: Esplorando il Social Network Privato

Bitdefender Non Installato: 3 Soluzioni Facili Che Puoi Usare

Ulteriori informazioni sulle correzioni di Bitdefender

Google elimina Inbox e gli dà sei mesi di vita

rapporti-aspetto-16x9

Comprendere i Rapporti di Aspetto dei Video

Gestore di File con Tag per Organizzare i Tuoi File: Top 5

Correggi wake on LAN non funzionante

Wake On LAN Non Funziona su Windows [Risolto]

easycap-mac-mspacman-console

Utilizzare EasyCAP per acquisire VHS e console su Mac

Google testa una nuova funzionalità di Chrome per l'idoneità all'aggiornamento a Windows 11