Sicherheitsforscher sehen in KI-generiertem Code eine neue potenzielle Gefahr für Software-Lieferketten, ausgelöst durch "Slopsquatting".
Der Begriff „Slopsquatting“, geprägt vom Sicherheitsforscher Seth Larson, beschreibt eine Angriffsform, bei der Angreifer Schadpakete unter erfundenen Namen veröffentlichen – Namen, die von KI-Modellen wie ChatGPT oder CodeLlama häufig fälschlich vorgeschlagen werden. Anders als beim bekannten „Typosquatting“ basieren diese Namen nicht auf Tippfehlern bekannter Bibliotheken, sondern auf Paketnamen, die die KI frei „halluziniert“.
Das Problem entsteht, weil generative KI-Modelle beim Schreiben von Code oft auch Bibliotheken vorschlagen, die gar nicht existieren. In einer im März 2025 veröffentlichten Studie zeigte sich, dass rund 20 Prozent der analysierten KI-Codebeispiele (insgesamt 576.000 Python- und JavaScript-Snippets) nicht existierende Pakete enthielten. Auch etablierte Tools wie ChatGPT-4 halluzinieren in etwa 5 Prozent der Fälle, bei Open-Source-Modellen wie DeepSeek, WizardCoder oder Mistral ist die Quote teilweise deutlich höher. Neuere Modelle hat das Team bisher nicht getestet, Halluzinationen sind jedoch auch bei den besten Modellen immer noch ein Problem.
Diese halluzinierten Paketnamen klingen oft plausibel. Entwickler, die KI-generierten Code übernehmen, könnten versuchen, solche Pakete zu installieren, ohne zu merken, dass sie nicht existieren. Angreifer könnten genau diese erfundenen Namen in Repositorien wie PyPI oder npm registrieren und Schadcode darunter veröffentlichen. Wird so ein Paket installiert, gelangt der Schadcode in die Software – ohne Warnung. Da viele Entwickler sich auf KI-Code verlassen oder ihn automatisch verarbeiten, kann so ein Einfallstor für Angriffe entstehen.
Halluzinationen sind vorhersehbar - und daher für Angreifer interessant
Besonders kritisch: Die Studie zeigt, dass 58 Prozent der halluzinierten Paketnamen mehrfach bei ähnlichen Anfragen vorkamen. Das macht sie vorhersehbar und damit für Angreifer besonders interessant. Socket, ein auf Open-Source-Sicherheit spezialisiertes Unternehmen, warnt, dass diese Muster ein „vorhersehbares Angriffsziel“ darstellen. 38 Prozent der halluzinierten Namen ähnelten echten Paketen, 13 Prozent waren Tippfehler, der Rest reine Erfindung.
Um sich zu schützen, empfehlen Forscher mehrere Maßnahmen: Paketnamen nie ungeprüft übernehmen, Versionsnummern festlegen (Lockfiles), Hash-Prüfungen nutzen und KI-generierten Code stets in isolierten Umgebungen testen. Zudem kann die Reduzierung der sogenannten „Temperatur“ – ein KI-Parameter, der die Zufälligkeit der Ausgabe steuert – Halluzinationen verringern.
