Slopsquatting : ces codes inventés par l’IA deviennent des virus bien réels

Un nouveau piège informatique se dessine à l’horizon du développement logiciel. Le Slopsquatting, fruit toxique des hallucinations d’IA, menace déjà les chaînes de production logicielles.

Ce terme inquiétant, contraction de slop (bavure) et squatting (squat), décrit une pratique insidieuse : détourner des erreurs inventées par une IA pour infiltrer un virus dans une application.

Les modèles d’IA générative sont puissants, mais pas infaillibles. En générant des lignes de code mot par mot, ils peuvent halluciner des instructions sans fondement. Par exemple, une IA pourrait inventer une commande comme « pip install super-logiciel » pour résoudre un problème fictif. Ce super-logiciel n’existe pas, mais l’IA ne le sait pas. L’erreur, souvent ignorée, pourrait être récupérée par un pirate.

Et c’est là que commence le danger. Un hacker malveillant peut créer un package réel nommé super-logiciel contenant un malware. Le développeur, qui pense suivre une instruction fiable, l’installe dans son projet… et intègre sans le vouloir un code malveillant dans son application.

Youtube video

Des chiffres alarmants sur l’ampleur du phénomène

Un rapport d’experts publié en mars 2025 a levé le voile sur l’ampleur du risque. Sur 576 000 générations de code, près de 19,7 % contenaient un nom de package inexistant. Les modèles open source s’en sortent moins bien, atteignant 21,7 % d’hallucinations contre 5,2 % pour les modèles commerciaux. Cela représente plus de 200 000 noms imaginaires qui pourraient devenir des vecteurs d’attaque.

Encore plus inquiétant : les IA répètent leurs erreurs. Une fois un faux nom inventé, il ressurgit dans 58 % des générations suivantes. Cela augmente les chances qu’il soit copié et collé dans plusieurs projets. Cette récurrence automatique favorise la diffusion de malwares à grande échelle.

La responsabilité des développeurs face à l’automatisation

Le rapport souligne surtout la confiance excessive accordée aux LLM par les développeurs. De nombreux développeurs automatisent des tâches sans toujours vérifier chaque ligne de code généré. L’erreur, au départ anodine, devient un point d’entrée potentiel pour une attaque.

Face à cela, une solution reste simple mais indispensable : vérifier manuellement chaque commande d’installation et ne jamais exécuter un nom de package sans confirmation préalable. Les IA peuvent aider, mais leur fiabilité reste conditionnelle à un contrôle humain permanent.

Youtube video

En somme, le Slopsquatting illustre parfaitement les nouveaux pièges d’une programmation assistée par IA. Derrière la productivité promise, se cachent des erreurs facilement exploitables par ceux qui savent attendre… et piéger les lignes de code mal écrites.

Restez à la pointe de l'information avec
INTELLIGENCE-ARTIFICIELLE.COM !

Abonnez-vous à notre chaîne YouTube et rejoignez-nous sur Actualités

ARTICLES SIMILAIRES

Grok 4.5 est disponible : détails du déploiement technique par xAI

Grok 4.5 est disponible : détails du déploiement technique par xAI

La firme xAI vient de confirmer le lancement de Grok 4.5, une mise à jour majeure, dès aujourd’hui pour les abonnés Premium.  L’entreprise déploie ce

13 juillet 2026

Comment évaluer et comparer les IA de code sur votre propre projet ?

Comment évaluer et comparer les IA de code sur votre propre projet ?

Face à la multiplication des modèles de langage spécialisés dans la programmation (comme GPT-5.6, Claude Fable 5 ou Grok 4.5), choisir l’outil idéal pour sa

13 juillet 2026

Rubrik prépare son intégration avec Amazon Bedrock AgentCore

Rubrik annonce une prochaine intégration entre Rubrik Agent Cloud et Amazon Bedrock AgentCore afin de renforcer la sécurité des agents IA sur AWS. Cette évolution

12 juillet 2026

IA et cybersécurité : comment protéger vos données face aux nouvelles menaces ?

L’intelligence artificielle transforme profondément le fonctionnement des entreprises. Elle permet d’automatiser des tâches, d’améliorer le service client, d’analyser de grands volumes de données ou encore

10 juillet 2026

Deepfakes vocaux : une fraude qui se perfectionne

Le clonage vocal par intelligence artificielle ne cesse de gagner en réalisme. Cette évolution technologique ouvre de nouvelles perspectives, mais elle offre aussi aux cybercriminels

9 juillet 2026

Anthropic ouvre le programme Cyber Jailbreak Score pour l’IA pour évaluer la sécurité des IA

Trois semaines après avoir suspendu le modèle Claude Fable 5 sous la pression de Washington, Anthropic relance ses services à l’échelle internationale. Cependant, l’entreprise américaine

7 juillet 2026

Cliquez pour commenter

Laisser un commentaire