Intelligenza artificiale e allucinazioni di programmazione: che cos'è lo slopsquatting e perché è pericoloso per la creazione di software

Non è una novità il fatto che le attività e i compiti di programmazione sono sempre più supportati e affiancati da strumenti di intelligenza artificiale generativa, che di fatto trasformano il modo in cui gli sviluppatori, nel concreto, scrivono il loro codice. Se da un lato tutto ciò permette di ottenere maggior produttività, e di concentrarsi meglio sulla risoluzione dei problemi invece che sulla sintassi del codice, dall'altro crescono nuovi rischi per la sicurezza della supply chain del software.

Seth Larson, sviluppatore presso la Python Software Foundation, ha coniato un termine per indicare questi nuovi rischi: "slopsquatting", che descrive un attacco basato sulla tendenza delle IA di generare nomi di pacchetti inesistenti, di fatto delle vere e proprie "allucinazioni" di programmazione.

Il termine trae ispirazione dal più noto "typosquatting", cioè lo sfruttamento di errori di digitazione per ingannare l'utente, ma come dicevamo si concentra sull'uso di nomi di pacchetti inventati di sana pianta dall'IA nei loro esempi di codice. Gli attaccanti potrebbero registrare pacchetti con questi nomi su repository ufficiali come, ad esempio, PyPI inserendovi codice dannoso che in questo modo può essere scaricato da sviluppatori ignari.

Nel mese di marzo 2025 sono stati pubblicati i risultati di uno studio che ha analizzato 576.000 campioni di codice generati da modelli IA, dal quale si è potuto evincere che il 20% circa dei pacchetti suggeriti dall'IA dedicata a compiti di programmazione erano del tutto inesistenti. Il problema ha mostrato una maggiore incidenza con i modelli open-source come CodeLlama, DeepSeek, WizardCoder e Mistral, con un tasso di allucinazione del 21,7%, rispetto al 5% dei modelli commerciali come ChatGPT-4.

Ancor più interessante è il fatto che lo studio ha identificato oltre 200 mila nomi unici di pacchetti "inventati", con però il 43% ripetuto costantemente in prompt simili e il 58% riapparso almeno una volta in 10 esecuzioni. Di tutti questi nomi inventati, il 38% ricordava quello di pacchetti realmente esistenti, il 13% da errori di scrittura mentre il restante è risultato essere completamente inventato.

Al momento non vi sono prove che gli attacchi slopsquatting siano effettivamente avvenuti nella realtà, ma proprio il fatto che una parte dei nomi inventati sono piuttosto ricorrenti aumenta il rischio che essi possano essere utilizzati come indicato più sopra: maggiore è la ripetitività di un nome, maggiore è il suo valore perché può essere utilizzato più facilmente per condurre attacchi.

L'unico modo per mitigare questo rischio è verificare manualmente i nomi dei pacchetti senza dar per scontato che quelli menzionati nelle porzioni di codice generate dall'IA siano reali o attendibili: l'impiego scanner delle dipendenze, file lock e verifiche hash per ricondurre i pacchetti a versioni conosciute e affidabili rappresenta una strategia efficace per migliorare la sicurezza. Ovviamente vale il suggerimento di mettere alla prova il codice generato dall'IA in ambienti isolati prima della sua esecuzione in un ambiente di produzione.