Slopsquatting:當 AI代理幻覺遇上惡意套件

本文探討 AI 程式設計助理如何因幻覺而生成出一些看似合理但實際上卻不存在的套件名稱,進而衍生能讓駭客預先設下陷阱的「slopsquatting」攻擊。此外,本文也提供一些企業可用來保護開發流程的實務策略。

下載這份技術摘要

主要重點

  • Slopsquatting 是現代化 AI 驅動軟體開發流程的一項供應鏈威脅,起因於 AI 程式設計代理因為幻覺而生成一些看似合理但實際上卻不存在的套件名稱,使得駭客有機會預先設下陷阱來散播惡意程式。
  • 儘管進階程式設計代理與工作流程,如:Claude Code CLI、OpenAI Codex CLI 以及 Cursor AI 搭配 MCP 作後端驗證,有助於降低幽靈相依元件 (phantom dependencies) 的風險,但仍無法徹底根除,因為就算即時驗證也無法捕捉每一種邊緣案例。
  • 常見的失敗情況包括:填補情境漏洞與模仿表面形式,也就是 AI 代理根據使用者的意圖與符合統計的慣例而捏造出看似合理的套件名稱,卻沒有確實檢查套件名稱是否真的存在。
  • 防範這類威脅需要從多重管道下手,結合最佳實務原則 (例如透過軟體物料清單來追蹤源頭)、自動化漏洞掃描、在沙盒模擬環境內測試安裝、即時驗證套件,以及人員監督,如此才能真正保護 AI 驅動的開發流程。

想像一下這樣的情境:您的開發時程相當緊迫,但您擁有一套可靠的 AI 程式設計助理來自動幫您完成函式撰寫、推薦可用相依元件,甚至幫您即時呼叫 pip 安裝指令。您正深深沉醉在所謂的「氛圍程式設計」(vibe coding) 開發流程當中,在 AI 的協助下,您的點子幾乎豪不費力就變成了程式碼,感覺就好像在變魔術一樣,直到一切突然停止運作。

在研究過程當中,我們曾看到一個進階 AI 代理自豪地無中生有了一個看似完全合理的套件名稱,但隨後卻在程式實際組建時發生「找不到模組」的窘境。然而更令人擔憂的是,這些幽靈套件說不定已經存在於 PyPI 當中,因為某個駭客已經註冊了這些套件名稱,等著開發人員上鉤,自己將惡意程式碼帶入工作流程當中。

圖 1:AI 代理幻想出一個根本不存在的套件名稱 (上演 slopsquatting)。

對 AI 開發人員來說,這些暫時性的錯誤不單只是造成不便而已,而是一種新式供應鏈攻擊的機會之窗。當 AI 代理幻想出不存在的相依元件或安裝未經檢查的套件時,就等於為slopsquatting 創造了機會,因為駭客會在公開登錄上預先註冊這些幻想出來的名稱。

本文探討這些幻覺是如何出現在進階 AI 代理當中,並說明其潛在的影響,提供企業一些維護開發流程安全以防範類似威脅的行動建議。

何謂 slopsquatting?

繼續閱讀

【資安新聞週報】AI幫詐騙團寫信、做分工:我們正在對抗的是一個「自動化犯罪集團」

當你以為資安威脅只是「電腦病毒」那麼簡單,詐騙集團早已用AI寫信、偽造聲音、製作假官網,甚至一步步設計劇本騙光你的錢。本週十大資安新聞揭露:從YouTube假廣告彈窗、Google Workspace與ChatGPT漏洞、到LINE假警察指導你「錯過救援時機」,每一則都在提醒我們——資訊安全早已不只是IT的責任,而是你我日常生活的一部分。面對多段式詐騙與AI深偽技術,唯有掌握最新手法與自保知識,才能在資訊洪流中不被攻破。

⭕️ 資安趨勢部落格精選

⭕️ 本週十大資安重點新聞

✅ 1.假廣告騙點擊!YouTube冒出「中毒警告彈窗」騙人掃毒
→ 詐騙廣告進軍影音平台,點下去就掉坑!

✅ 2.Google Workspace重大漏洞!一鍵總結變成釣魚工具
→ 郵件摘要功能遭濫用,小心一點就中招!

✅ 3.瀏覽器外掛又出包!230萬次下載的18款擴充程式含惡意程式碼
→ 用得越多,風險越高!

繼續閱讀

投票詐騙再升級,假朋友用「假破解教學」阻止你救回LINE帳號/水電行變詐團?聲音+影片都能假

【打詐週報】從假投票連結到AI深偽語音,從普發現金釣魚網站到仿冒iPad與假水電工詐術,本週的詐騙案件不只手法更多元,還結合政策話題與最新技術,一步步誘使民眾放下戒心。
尤其令人警惕的是,詐騙不再只靠一次攻擊,而是設計成「多段式劇本」進行洗腦與誤導——像是LINE帳號被盜後,還被詐團假冒警察傳錯誤破解教學,導致受害者錯失救回帳號的黃金機會。
這些詐騙案例提醒我們:在資訊與技術瞬息萬變的時代,真正該升級的,不只是防毒軟體,而是我們的警覺心與判斷力。

繼續閱讀

揭發 AI 代理的漏洞 (5-5):保護 LLM 服務

這是有關代理式 AI 漏洞議題的最後一篇文章,本文探討對 AI 代理造成威脅的各種新興漏洞,主要是提供主動式資安建議來防範程式碼執行、資料外傳以及資料庫存取等方面的漏洞。

大型語言模型 (LLM) 已日益成為現代化應用程式的一環,其安全性比以往更加重要。我們在先前幾篇文章已討論過可能對 AI 代理造成威脅的新興漏洞,主要聚焦在程式碼執行、資料外傳以及資料庫存取等領域。

本系列的最後一篇,我們將探討如何應對這些威脅所帶來的挑戰,以及我們為何需要嚴密的多層式策略來保護這些系統。本系列其他文章還有:

  • 第一篇:揭發 AI 代理的漏洞 ─ 介紹 AI 代理的主要資安風險,例如:提示注入與執行未經授權的程式碼,並摘要說明後續討論的議題架構,包括:資料外傳、資料庫漏洞攻擊,以及防範策略。
  • 第二篇:程式碼執行漏洞 ─ 探討駭客將如何利用 LLM 驅動服務的弱點來執行未經授權的程式碼、避開沙盒模擬環境的限制,以及利用錯誤處理機制的漏洞,進而導致資料外洩、未經授權的資料傳輸,以及取得執行環境的永久存取權限。
  • 第三篇:資料外傳:探討駭客如何利用間接提示注入,讓 GPT-4o 這類多模態 LLM 在遇到看似無害的惡意檔案時將機敏資料外傳。這種所謂的「零點選」(zero-click) 漏洞可讓駭客在網頁、圖片及文件中暗藏指令,誘騙 AI 代理洩露使用者互動記錄、上傳檔案,以及聊天記錄當中的機密資訊。
  • 第四篇:資料庫存取漏洞 ─ 探討駭客如何攻擊與 LLM 整合的資料庫系統,透過 SQL 隱碼注入、預先儲存的提示注入,以及向量儲存下毒來取得管制的資料,同時還能避開認證機制。駭客可利用提示篡改來影響查詢結果、取得機密資訊,或者插入永久性漏洞來影響未來的查詢。

防範程式碼執行漏洞

繼續閱讀

揭發 AI 代理的漏洞 (5-4):資料庫存取漏洞

駭客如何攻擊具備資料庫存取能力的 AI 代理?本文探討駭客如何利用 SQL 生成漏洞、預先儲存的提示注入,以及向量儲存下毒等手法來從事詐騙活動。

大型語言模型 (LLM) 服務有可能變成網路攻擊的入口嗎?可執行程式碼的 LLM 有可能被挾持用來執行有害指令嗎?Microsoft Office 文件中暗藏的指令能不能騙過 LLM,讓它洩漏敏感的資料?駭客有多容易篡改資料庫查詢敘述來取得管制的資訊?

這些都是 LLM 服務今日面臨的一些基本問題。本系列文章討論 LLM 服務的重大漏洞,深入揭發其看似聰明的回應底下所潛藏的威脅。

下載研究報告

Technical Brief
繼續閱讀