Slopsquatting
Author
Robin Laufenburg, Mo, 12. Mai. 2025
 in Cybersecurity

Slopsquatting

Wenn KI-Code erfundene Bibliotheken vorschlägt und Angreifer zuschlagen

Slopsquatting ist eine neuartige Bedrohung für Software-Lieferketten, ausgelöst durch KI-generierten Code mit erfundenen Paketnamen.

Immer mehr Entwickler verlassen sich auf Vorschläge von ChatGPT & Co. – und laufen so Gefahr, Schadpakete zu installieren. Mehr dazu lesen Sie bei uns.

Was ist Slopsquatting?

Slopsquatting beschreibt eine neue Form digitaler Angriffe, die auf eine Schwachstelle im Zusammenspiel zwischen generativer KI und Softwareentwicklung abzielt. Dabei veröffentlichen Angreifer gezielt Schadcode unter erfundenen Namen von Softwarepaketen – also Bibliotheken, die gar nicht existieren, aber von KI-Modellen wie ChatGPT oder CodeLlama fälschlich vorgeschlagen werden.

Der Begriff setzt sich aus „Slop“ (aus dem Englischen für unsauberer Ausstoß; heute etabliert für unsaubere, ungenaue KI-Ausgaben) und „Squatting“ (aus dem Englischen für Besetzen) zusammen. Er lehnt sich an das bekannte Typosquatting an, bei dem Angreifer auf Tippfehler bei echten Paketnamen setzen. Beim Slopsquatting hingegen basiert der Betrug nicht auf einem Flüchtigkeitsfehler, sondern auf der kreativen, aber fehlerhaften Ausgabe eines Sprachmodells.

Gerade Large Language Models (LLMs) spielen hier eine zentrale Rolle: Sie werden darauf trainiert, plausibel klingenden Code zu erzeugen – auch dann, wenn reale Daten oder konkrete Bibliotheken fehlen. Die Folge: LLMs halluzinieren Paketnamen, die nicht existieren, aber vertrauenswürdig wirken. Wenn Entwickler solche Empfehlungen ungeprüft übernehmen, öffnet sich ein neues Einfallstor für Cyberangriffe.

Infografik über Slopsquatting zeigt, wie KI-generierter Code erfundene Bibliotheken vorschlägt, die von Angreifern ausgenutzt werden können. Bild: ChatGPT [Bild mit KI erstellt]

Slopsquatting: Wenn KI-Code nicht existierende Bibliotheken vorschlägt – eine neue Angriffsfläche für Cyberkriminelle. Bild: ChatGPT [Bild mit KI erstellt]

Wie wird Slopsquatting zur Gefahr?

Die eigentliche Bedrohung durch Slopsquatting entsteht nicht allein durch halluzinierte Paketnamen – sondern durch ihre Kombination mit der automatisierten Verbreitung von Schadcode. Generative KI-Modelle erzeugen häufig vermeintlich hilfreiche Code-Snippets, in denen Bibliotheken referenziert werden, die es nie gegeben hat. Diese halluzinierten Paketnamen wirken dabei oft plausibel, weil sie syntaktisch korrekt und thematisch passend erscheinen.

Cyberkriminelle können diese Schwäche gezielt ausnutzen: Sie registrieren genau solche Namen in offiziellen Repositorien wie npm (für JavaScript) oder PyPI (für Python) und hinterlegen dort manipulierte Inhalte. Sobald ein Entwickler versucht, das vermeintliche Paket zu installieren – sei es manuell oder über ein automatisiertes Tool – wird der Schadcode Bestandteil des Projekts. Ein Sicherheitsmechanismus greift dabei in der Regel nicht, da das Paket formal gültig ist.

Paket-Repositories wie npm und PyPI sind zentrale Bausteine moderner Softwareentwicklung – gerade in offenen Entwicklungsumgebungen, wo externe Bibliotheken zur Effizienzsteigerung beitragen. Die Integration dieser Repositorien ist häufig tief in Build-Pipelines oder Package-Manager eingebunden, was die Gefahr einer unbemerkten Kompromittierung noch verstärkt. Zusätzlich zeigt sich: KI-generierter Code ist oft nicht nur inhaltlich unzuverlässig, sondern bringt bekannte Schwachstellen mit sich – darunter unsichere API-Aufrufe, fehlende Fehlerbehandlung oder unzureichende Eingabekontrollen. In Kombination mit halluzinierten Abhängigkeiten entsteht so ein hohes Risiko für die Integrität der gesamten Software-Lieferkette.

Zahlen und Fakten: Wie oft halluziniert KI?

Eine umfangreiche Studie von Forschern der University of Texas at San Antonio, Virginia Tech und der University of Oklahoma hat das Ausmaß entsprechender Halluzinationen untersucht. In einer im März 2025 veröffentlichten Analyse testete das Team 16 Codegenerierungsmodelle anhand von 576.000 Python- und JavaScript-Snippets. Das Ergebnis ist alarmierend: Etwa 20 Prozent der Vorschläge enthielten nicht existierende Paketnamen.

Open-Source-Modelle wie DeepSeek oder WizardCoder schnitten mit durchschnittlich 21,7 Prozent Halluzinationsrate besonders schlecht ab. Deutlich besser waren kommerzielle Modelle wie GPT-4 Turbo – sie lagen bei 5,2 Prozent. Doch selbst hier bleibt ein Restrisiko bestehen.

Besonders kritisch: Die erfundenen Paketnamen traten häufig wiederholt auf. In 58 Prozent der Fälle wurden identische Namen bei ähnlichen Eingaben mehrfach generiert. Rund 38 Prozent ähnelten echten Paketen, 13 Prozent basierten auf Tippfehlern – der Rest war frei erfunden, aber semantisch überzeugend.

Diese wiederkehrenden Muster machen die Angriffsfläche planbar. Angreifer können gezielt nach solchen Namen suchen, sie registrieren und mit Schadcode versehen. Jeder zusätzliche Prompt mit einer ähnlichen Anfrage erhöht die Wahrscheinlichkeit, dass genau dieses Paket erneut vorgeschlagen – und möglicherweise gesucht und installiert – wird.

Infografik zeigt, wie aus KI-generiertem Code mit erfundenen Paketnamen ein Cyberangriff durch Veröffentlichung von Schadcode entsteht. Bild: ChatGPT [Bild mit KI erstellt]

Gefährlicher Ablauf beim Slopsquatting: Von der KI-halluzinierten Bibliothek zum veröffentlichten Schadcode. Bild: ChatGPT [Bild mit KI erstellt]

Konkrete Schutzmaßnahmen

Die Gefahr durch Slopsquatting lässt sich deutlich verringern – vorausgesetzt, es werden konsequente Sicherheitsvorkehrungen getroffen. Sicherheitsforscher empfehlen dafür eine Kombination aus technischen und organisatorischen Maßnahmen, die fest im Entwicklungsprozess verankert sein sollten:

  • Paketnamen niemals blind übernehmen: Jede externe Abhängigkeit sollte manuell geprüft und verifiziert werden – auch bei vermeintlich plausiblen Empfehlungen durch KI.
  • Versionen fixieren: idealerweise mithilfe von Lockfiles (z. B. package-lock.json oder requirements.txt). So wird sichergestellt, dass dieselbe Version auch bei Wiederholung oder im Team verwendet wird.
  • Hash-Prüfungen integrieren: Hash-Prüfungen (auch bekannt als „Integrity Checks“) stellen sicher, dass ein heruntergeladenes Paket unverändert und authentisch ist. Dazu wird ein kryptografischer Fingerabdruck – meist ein SHA256- oder SHA512-Hash – verwendet. Stimmt der Hash-Wert des geladenen Pakets nicht mit dem erwarteten überein, wird die Installation abgebrochen. Viele Paketmanager unterstützen diesen Schutz bereits.
  • KI-generierten Code in isolierten Umgebungen testen: beispielsweise in Containern oder virtuellen Maschinen. So lässt sich das Verhalten des Codes gefahrlos analysieren, bevor er in produktive Systeme gelangt.
  • Die sogenannte „Temperatur“ bei der Codegenerierung senken: Dieser Parameter steuert, wie kreativ bzw. zufällig ein Modell antwortet. Eine niedrigere Temperatur reduziert das Risiko halluzinierter Inhalte. Leider ist das Einstellen der Temperatur nicht bei allen LLM-basierten Tools integriert.

Besonders in automatisierten Build- und Deployment-Prozessen ist es wichtig, solche Sicherheitsmechanismen dauerhaft zu integrieren. Nur so lässt sich verhindern, dass fiktive Paketnamen unbemerkt in produktive Systeme gelangen.

Infografik mit vier Symbolen und Schlagwörtern zu konkreten Sicherheitsmaßnahmen gegen Slopsquatting: Paketnamen prüfen, Versionen fixieren, Hash-Prüfungen integrieren, Code isoliert testen. Bild: ChatGPT [Bild mit KI erstellt]

Vier konkrete Schutzmaßnahmen zur sicheren Nutzung von KI-generiertem Code und zur Abwehr von Slopsquatting-Angriffen. Bild: ChatGPT [Bild mit KI erstellt]

Fazit: KI-Code bleibt prüfpflichtig

Slopsquatting ist kein Ausreißer, sondern ein Symptom struktureller Schwächen im Umgang mit KI-generiertem Code. Generative Modelle wie ChatGPT oder CodeLlama ermöglichen schnelle, automatisierte Entwicklung – doch sie bringen auch neue, schwer erkennbare Risiken mit sich.

Wer auf KI setzt, trägt Verantwortung. Nicht nur für die Funktionsfähigkeit des Codes, sondern auch für seine Herkunft, Integrität und Sicherheit. Es reicht nicht aus, Ergebnisse von KI-Systemen einfach zu übernehmen – sie müssen immer unbedingt geprüft, validiert und in sichere Prozesse eingebettet werden. Nur wenn generativer Code bewusst und kritisch eingesetzt wird, bleibt er ein Werkzeug mit Mehrwert – und wird nicht zur stillen Schwachstelle in der Software-Lieferkette.

PC-SPEZIALIST: Unterstützung bei IT-Sicherheitsfragen

Auch kleine und mittlere Firmen sind von Slopsquatting betroffen – insbesondere, wenn sie KI-gestützte Tools einsetzen oder bei eigenen Automatisierungen auf generierten Code zurückgreifen möchten. Wer solche Risiken unterschätzt, gefährdet nicht nur interne Prozesse, sondern auch Kundenprojekte. Um das Risiko zu minimieren, sollten KI-Tools in sicheren Testumgebungen evaluiert und jede Abhängigkeit manuell verifiziert werden. Zusätzlich empfiehlt sich ein regelmäßiger Sicherheitscheck bestehender Build-Pipelines.

Sie möchten Ihre Software-Lieferkette absichern oder bestehende Prozesse prüfen lassen? Unsere IT-Experten vor Ort helfen weiter – mit individuellen Sicherheitsanalysen und passgenauen Lösungen für kleine Unternehmen.

_______________________________________________

Quellen: the decoder, CSO, Infosecurity Magazine, netzwoche, Kaspersky, All-AI.de, golem.de, Pexels/Merlin Lightpainting (Headerbild)

, ,

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.

0 Kommentare

    Das könnte Sie auch interessieren