slopsquatting

== Anglais == === Étymologie === (Avril 2025) Mot-valise formé de AI slop et de typosquatting, créé par le développeur et chercheur en cybersécurité Seth Larson sur le réseau social Mastodon. === Nom commun === slopsquatting \ˈslɒp.ˌskwɒt.ɪŋ\ (Indénombrable) (Programmation, Intelligence artificielle) Type de cybersquatting consistant à publier une bibliothèque logicielle contenant un virus sous un nom qu’un LLM a de fortes chances de générer, de manière à ce qu’une personne peu attentive installe par mégarde cette bibliothèque, et donc le virus. Even when you know what to look for, slopsquatting is still difficult to spot in many cases. Since it’s so new, it’ll take time for security experts to develop a reliable process to identify and eliminate malicious packages. — (Crystal Crowder, What is Slopsquatting and How to Avoid It sur www.maketecheasier.com. Mis en ligne le 17 avril 2025) Même si vous savez quoi chercher, le slopsquatting reste difficile à repérer dans de nombreux cas. Puisque c’est très récent, ça va demander un peu de temps avant que les experts en sécurité développent un procédé fiable d’identification et d’élimination des paquets malicieux. The process of slopsquatting unfolds in several stages. First, LLMs, such as ChatGPT, GitHub Copilot, or open-source models like CodeLlama, generate code or suggest dependencies. In some cases, they recommend package names that do not exist in public repositories like PyPI or npm. These hallucinated names often sound plausible, resembling legitimate libraries (e.g., “secure-auth-lib” instead of an existing “authlib”). — (Stephanie Adlam, Slopsquatting: New Malware Spreading Technique Targeting AI Assisted Developers sur gridinsoft.com. Mis en ligne le 24 avril 2025) Le procédé du slopsquatting se déroule en plusieurs étapes. Premièrement, des LLM tels que ChatGPT, GitHub Copilot, ou des modèles open-source tel que CodeLlama, génèrent du code ou suggèrent des dependances. Dans certains cas, ils recommendent des noms de paquets qui n’existent pas dans les dépôts publics comme PyPI ou npm. Ces noms hallucinés paraissent souvent plausibles, ressemblant à des bibliothèques légitimes (par ex « secure-auth-lib » au lieu de « authlib » qui, elle, existerait). Ultimately, this threat relies on internal agents running code received from an LLM without first validating it. So, one of the most effective approaches an organization can take in order to mitigate the risk of slopsquatting is to ensure they have robust verification practices in place. — (Vaidotas Šedys, Mitigating the risks of package hallucination and 'slopsquatting' sur www.techradar.com. Mis en ligne le 16 juillet 2025) En définitive, cette menace repose sur des agents internes qui exécuteraient du code reçus d’un LLM sans le valider au préalable. Ainsi, une des approches les plus efficaces qu’une organisation peut mettre en œuvre afin de mitiger les risques de slopsquatting est de s’assurer que des méthodes de vérification robustes soient en place. === Prononciation === → Prononciation audio manquante. (Ajouter un fichier ou en enregistrer un avec Lingua Libre ) === Voir aussi === Q133898386 dans la base de données Wikidata Slopsquatting sur l’encyclopédie Wikipédia (en anglais) === Références === ==== Sources ====