La creciente popularidad de las herramientas de IA generativa para la programación ha dado lugar a una nueva clase de ataques a la cadena de suministro denominada “slopsquatting”.
Este fenómeno se origina a partir de la tendencia de los modelos de IA a “alucinar” nombres de paquetes que no existen, lo que crea un vector de ataque explotable por actores malintencionados.
El término slopsquatting fue acuñado por el investigador de seguridad Seth Larson, tomando como base el concepto de typosquatting, un método de ataque en el que se engaña a los desarrolladores para que instalen paquetes maliciosos con nombres que se parecen a bibliotecas populares.
Aunque a diferencia del typosquatting, el slopsquatting no depende de errores tipográficos, sino de los paquetes maliciosos creados a partir de nombres que la IA genera y que no existen en los índices de paquetes como PyPI y npm.
¿Cómo ocurren las “alucinaciones” en IA?
Una investigación publicada en marzo de 2025 ha analizado más de 576.000 ejemplos de código Python y JavaScript generados por IA.
El estudio reveló que aproximadamente el 20% de los paquetes recomendados por los modelos de IA no existían.
Los modelos de código abierto como CodeLlama, DeepSeek, WizardCoder y Mistral presentaron tasas de alucinación más altas, mientras que las herramientas comerciales como ChatGPT-4 tuvieron una tasa de alucinación de alrededor del 5%, lo cual aún es significativo.
El estudio también descubrió que un 38% de los nombres de paquetes alucinados estaban inspirados en paquetes reales, 13% fueron el resultado de errores tipográficos y el restante 51% fueron completamente fabricados por la IA.
¿Por qué este riesgo es relevante? ⚠️
Aunque, por ahora, no se ha observado que los atacantes hayan comenzado a explotar esta nueva forma de ataque, los investigadores de la compañía de ciberseguridad open-source Socket advierten que los nombres de paquetes alucinados son comunes, repetibles y semánticamente plausibles.
Esto crea una superficie de ataque predecible y fácil de explotar.
Según los investigadores, un 58% de los paquetes alucinados se repitieron al menos una vez en diez intentos.
Esto indica que la mayoría de las alucinaciones no son solo “ruido aleatorio”, sino artefactos repetibles derivados de cómo los modelos responden a ciertos comandos.
Esta repetibilidad aumenta su valor para los atacantes, lo que hace que sea más fácil identificar objetivos de slopsquatting observando solo unos pocos resultados de los modelos.
Mitigando el riesgo de slopsquatting ️
Para mitigar este riesgo emergente, los desarrolladores deben verificar manualmente los nombres de los paquetes y nunca asumir que un paquete mencionado en un fragmento de código generado por IA es real o seguro.
Además, el uso de escáneres de dependencias, archivos de bloqueo y verificación de hashes es una forma eficaz de asegurar que solo se utilicen versiones confiables de los paquetes.
Los estudios también han demostrado que bajar la configuración de “temperatura” de la IA (menos aleatoriedad) puede reducir las alucinaciones.
Para los programadores que dependen de la IA para asistencia en el código, este es un factor importante a considerar.
Prácticas recomendadas ✅
En última instancia, es fundamental probar siempre el código generado por IA en un entorno seguro y aislado antes de ejecutarlo o desplegarlo en entornos de producción.
Esta precaución puede ayudar a prevenir la introducción de código malicioso a través de dependencias alucinadas.