### 新型“slopsquatting”攻击：生成式AI工具创建恶意库包威胁软件供应链

近来，随着生成式人工智能工具在编程中的普及，一种新的供应链攻击——“slopsquatting”（命名ริ합攻击）——逐渐浮现。这种攻击方式中，威胁行为者利用人工智能生成的名称来创建恶意软件包，这些名称看起来与流行的软件库非常相似，从而使开发者在不经意间将其包含在自己的代码中，导致安全漏洞和潜在的威胁。 **事件概述：** 2023年4月，网络安全研究人员首次发现并命名了这种攻击方法。AI工具在生成代码时，有时会生成一些看似合理但实际上并不存在的库名称。攻击者利用这一点，在公共软件包索引（如npm、PyPI等）上发布这些名称的恶意软件包，希望开发者在不明真相的情况下引入这些包。一旦引入，恶意软件包可以在开发者的系统上执行各种恶意操作，如窃取数据、安装后门或破坏系统功能。 **攻击手段与过程：** 攻击者通常会使用AI工具来生成大量的库名称，这些名称看起来与真实的流行库非常接近。例如，如果有一个流行的库名为“axios”，攻击者可能会创建一个名为“axoius”或“axiso”的恶意软件包，利用拼写相似性诱导开发者误用。此外，攻击者还会提供看似正常的文档和代码示例，进一步增加迷惑性。这种攻击的核心在于利用开发者对自动化工具的信任和对潜在安全风险的忽视。 **安全专家的应对策略：** 安全专家提出了几种应对“slopsquatting”攻击的方法。首先，开发团队应加强对依赖项的审查，确保所有引入的库都是来自可信源。其次，使用安全扫描工具可以帮助识别潜在的恶意软件包，这些工具可以检测库的来源和行为模式。此外，提高开发者的安全意识，定期进行培训，也是预防此类攻击的重要手段。 **事件影响及未来趋势：** “slopsquatting”攻击的影响已经引起了广泛关注。尽管目前还未广泛传播，但由于生成式AI工具的普及，未来这种攻击手段可能变得更加常见。企业和个人开发者应高度警惕此类风险，采取必要的防范措施，以保护自身系统的安全。 **业内人士评价：** 业内人士认为，“slopsquatting”攻击的出现揭示了生成式AI在提升工作效率的同时，也可能带来新的安全漏洞。网络安全专家建议，开发团队应同时关注工具的便利性和安全性，建立更加严格的依赖项管理流程。此外，公共软件包索引平台也在考虑加强审核机制，防止恶意软件包被发布。 **公司背景：** BleepingComputer是一家知名的网络安全新闻网站，专注于报道互联网安全领域的最新动态。该网站的作者Bill Toulas在此次“slopsquatting”攻击的发现和报道中起到了关键作用。他的报道不仅揭示了这一新的攻击方式，还对如何防范此类攻击提供了宝贵的建议。