Un nouveau piège informatique se dessine à l’horizon du développement logiciel. Le Slopsquatting, fruit toxique des hallucinations d’IA, menace déjà les chaînes de production logicielles.
Ce terme inquiétant, contraction de slop (bavure) et squatting (squat), décrit une pratique insidieuse : détourner des erreurs inventées par une IA pour infiltrer un virus dans une application.
Les modèles d’IA générative sont puissants, mais pas infaillibles. En générant des lignes de code mot par mot, ils peuvent halluciner des instructions sans fondement. Par exemple, une IA pourrait inventer une commande comme « pip install super-logiciel » pour résoudre un problème fictif. Ce super-logiciel n’existe pas, mais l’IA ne le sait pas. L’erreur, souvent ignorée, pourrait être récupérée par un pirate.
Et c’est là que commence le danger. Un hacker malveillant peut créer un package réel nommé super-logiciel contenant un malware. Le développeur, qui pense suivre une instruction fiable, l’installe dans son projet… et intègre sans le vouloir un code malveillant dans son application.
Des chiffres alarmants sur l’ampleur du phénomène
Un rapport d’experts publié en mars 2025 a levé le voile sur l’ampleur du risque. Sur 576 000 générations de code, près de 19,7 % contenaient un nom de package inexistant. Les modèles open source s’en sortent moins bien, atteignant 21,7 % d’hallucinations contre 5,2 % pour les modèles commerciaux. Cela représente plus de 200 000 noms imaginaires qui pourraient devenir des vecteurs d’attaque.
Encore plus inquiétant : les IA répètent leurs erreurs. Une fois un faux nom inventé, il ressurgit dans 58 % des générations suivantes. Cela augmente les chances qu’il soit copié et collé dans plusieurs projets. Cette récurrence automatique favorise la diffusion de malwares à grande échelle.
La responsabilité des développeurs face à l’automatisation
Le rapport souligne surtout la confiance excessive accordée aux LLM par les développeurs. De nombreux développeurs automatisent des tâches sans toujours vérifier chaque ligne de code généré. L’erreur, au départ anodine, devient un point d’entrée potentiel pour une attaque.
Face à cela, une solution reste simple mais indispensable : vérifier manuellement chaque commande d’installation et ne jamais exécuter un nom de package sans confirmation préalable. Les IA peuvent aider, mais leur fiabilité reste conditionnelle à un contrôle humain permanent.
En somme, le Slopsquatting illustre parfaitement les nouveaux pièges d’une programmation assistée par IA. Derrière la productivité promise, se cachent des erreurs facilement exploitables par ceux qui savent attendre… et piéger les lignes de code mal écrites.
Restez à la pointe de l'information avec INTELLIGENCE-ARTIFICIELLE.COM !
- Partager l'article :
