Slopsquatting: Jeder fünfte KI-Codeschnipsel enthält erfundene Bibliotheken
Sicherheitsforscher sehen in KI-generiertem Code eine neue potenzielle Gefahr für Software-Lieferketten, ausgelöst durch "Slopsquatting".
Der Begriff „Slopsquatting“, geprägt vom Sicherheitsforscher Seth Larson, beschreibt eine Angriffsform, bei der Angreifer Schadpakete unter erfundenen Namen veröffentlichen – Namen, die von KI-Modellen wie ChatGPT oder CodeLlama häufig fälschlich vorgeschlagen werden. Anders als beim bekannten „Typosquatting“ basieren diese Namen nicht auf Tippfehlern bekannter Bibliotheken, sondern auf Paketnamen, die die KI frei „halluziniert“.
Das Problem entsteht, weil generative KI-Modelle beim Schreiben von Code oft auch Bibliotheken vorschlagen, die gar nicht existieren. In einer im März 2025 veröffentlichten Studie zeigte sich, dass rund 20 Prozent der analysierten KI-Codebeispiele (insgesamt 576.000 Python- und JavaScript-Snippets) nicht existierende Pakete enthielten. Auch etablierte Tools wie ChatGPT-4 halluzinieren in etwa 5 Prozent der Fälle, bei Open-Source-Modellen wie DeepSeek, WizardCoder oder Mistral ist die Quote teilweise deutlich höher. Neuere Modelle hat das Team bisher nicht getestet, Halluzinationen sind jedoch auch bei den besten Modellen immer noch ein Problem.
Diese halluzinierten Paketnamen klingen oft plausibel. Entwickler, die KI-generierten Code übernehmen, könnten versuchen, solche Pakete zu installieren, ohne zu merken, dass sie nicht existieren. Angreifer könnten genau diese erfundenen Namen in Repositorien wie PyPI oder npm registrieren und Schadcode darunter veröffentlichen. Wird so ein Paket installiert, gelangt der Schadcode in die Software – ohne Warnung. Da viele Entwickler sich auf KI-Code verlassen oder ihn automatisch verarbeiten, kann so ein Einfallstor für Angriffe entstehen.
Halluzinationen sind vorhersehbar - und daher für Angreifer interessant
Besonders kritisch: Die Studie zeigt, dass 58 Prozent der halluzinierten Paketnamen mehrfach bei ähnlichen Anfragen vorkamen. Das macht sie vorhersehbar und damit für Angreifer besonders interessant. Socket, ein auf Open-Source-Sicherheit spezialisiertes Unternehmen, warnt, dass diese Muster ein „vorhersehbares Angriffsziel“ darstellen. 38 Prozent der halluzinierten Namen ähnelten echten Paketen, 13 Prozent waren Tippfehler, der Rest reine Erfindung.
Um sich zu schützen, empfehlen Forscher mehrere Maßnahmen: Paketnamen nie ungeprüft übernehmen, Versionsnummern festlegen (Lockfiles), Hash-Prüfungen nutzen und KI-generierten Code stets in isolierten Umgebungen testen. Zudem kann die Reduzierung der sogenannten „Temperatur“ – ein KI-Parameter, der die Zufälligkeit der Ausgabe steuert – Halluzinationen verringern.
KI-News ohne Hype – von Menschen kuratiert
Mit dem THE‑DECODER‑Abo liest du werbefrei und wirst Teil unserer Community: Diskutiere im Kommentarsystem, erhalte unseren wöchentlichen KI‑Newsletter, 6× im Jahr den „KI Radar“‑Frontier‑Newsletter mit den neuesten Entwicklungen aus der Spitze der KI‑Forschung, bis zu 25 % Rabatt auf KI Pro‑Events und Zugriff auf das komplette Archiv der letzten zehn Jahre.
Jetzt abonnierenKI-News ohne Hype
Von Menschen kuratiert.
- Mehr als 20 Prozent Launch-Rabatt.
- Lesen ohne Ablenkung – keine Google-Werbebanner.
- Zugang zum Kommentarsystem und Austausch mit der Community.
- Wöchentlicher KI-Newsletter.
- 6× jährlich: „KI Radar“ – Deep-Dives zu den wichtigsten KI-Themen.
- Bis zu 25 % Rabatt auf KI Pro Online-Events.
- Zugang zum kompletten Archiv der letzten zehn Jahre.
- Die neuesten KI‑Infos von The Decoder – klar und auf den Punkt.