Le slopsquatting : quand l'IA invente un package, et qu'un hacker l'enregistre pour de vrai

Le terme a été forgé en combinant « AI slop » (le contenu de faible qualité généré par IA) et « typosquatting » (l'enregistrement de noms de domaine proches de marques connues). Le principe est redoutablement simple, comme l'explique VentureBeat dans une analyse détaillée signée Zac Amos le 11 juillet 2026.

Les grands modèles de langage (LLM) génèrent fréquemment des noms de packages qui n'existent pas. Ces hallucinations sont statistiquement normales : le modèle prédit le token le plus probable, pas un fait vérifié. Le problème surgit quand des attaquants surveillent ces hallucinations, enregistrent les noms sur les registres publics (npm, PyPI), et y placent du code malveillant.

La différence cruciale avec le typosquatting :
Le typosquatting repose sur des fautes de frappe de packages connus (ex: « crossenv » pour « cross-env »). Les registres ont développé des défenses contre ces variantes évidentes.

Le slopsquatting utilise des noms totalement inventés qui ne ressemblent à aucun package existant. Les protections anti-typosquatting ne les détectent pas.

Des chiffres qui donnent le vertige

Une étude publiée dans Nature et relayée par VentureBeat révèle l'ampleur du phénomène :

  • 19,7 % des packages générés par IA sont hallucinés : sur un échantillon de 2,23 millions de packages, près d'un sur cinq n'existe pas.
  • GPT-4o, le meilleur modèle testé, plafonne à 23 % d'hallucinations, même avec des techniques d'atténuation (prompt engineering). Les modèles open source atteignent des taux de 50 à 82 %.
  • 72 % des développeurs ayant essayé un outil d'IA l'utilisent quotidiennement. Plus de 40 % du code commité contient déjà de l'assistance IA.
  • 31 267 vulnérabilités recensées sur 14 675 packages, avec une augmentation de 98 % par an. La durée de vie moyenne des vulnérabilités a augmenté de 85 % : elles restent exploitables plus longtemps.

Le « vibe coding », cette pratique qui consiste à générer du code avec l'IA sans le vérifier rigoureusement, amplifie mécaniquement la surface d'attaque.

Comment l'attaque fonctionne concrètement

Le scénario est d'une simplicité déconcertante. Un développeur demande à son assistant IA : « écris-moi un script Node.js qui fait X ». Le LLM génère du code qui inclut npm install un-package-invente. Le développeur copie-colle, exécute, et... rien ne se passe, le package n'existe pas.

Sauf qu'un attaquant a déjà enregistré ce nom de package quelques heures plus tôt. Le développeur suivant qui exécutera la même commande installera un malware. Et comme les LLM ont tendance à répéter les mêmes hallucinations d'une session à l'autre, un seul enregistrement peut infecter des centaines de projets.

VentureBeat donne des exemples concrets : mpn install cross-env file, ou le package cross-env-extended. Ces noms ne sont pas des typos de packages populaires : ils sont simplement assez crédibles pour qu'un humain pressé ne les remette pas en cause.

Une arme qui peut devenir ciblée

Le slopsquatting ne se limite pas aux attaques opportunistes. Les chercheurs avertissent que des acteurs malveillants peuvent provoquer délibérément des hallucinations spécifiques via des techniques de manipulation de tokens ou d'empoisonnement de la récupération (retrieval poisoning). Un attaquant pourrait forcer un LLM à suggérer un nom de package qu'il a préalablement enregistré avec un malware.

Le timing est d'autant plus préoccupant que npm 12, livré le 8 juillet 2026 (trois jours avant l'alerte VentureBeat), désactive par défaut les scripts d'installation. Mais les anciens clients npm continuent de les exécuter automatiquement, et une majorité de développeurs n'ont pas encore migré.

Ce que ça change pour les développeurs

Le slopsquatting transforme une « fonctionnalité » des LLM (leur tendance à halluciner) en vecteur d'attaque à l'échelle industrielle. Les implications sont profondes :

  • Fin de la confiance implicite : chaque package suggéré par une IA doit être vérifié manuellement sur le registre officiel avant installation. Le copier-coller aveugle devient un risque professionnel.
  • Les outils de sécurité existants sont aveugles : les protections anti-typosquatting des registres ne détectent pas des noms qui ne ressemblent à rien de connu. C'est un angle mort structurel.
  • La persistance est redoutable : une fois enregistré, un package slopsquatté peut rester indétecté pendant des mois. Les LLM continuent de le suggérer, les développeurs continuent de l'installer.

Analyse : le chainon manquant de la sécurité IA

Le slopsquatting révèle une asymétrie fondamentale dans l'écosystème du développement assisté par IA. Les LLM sont devenus des outils de production de code sans que les mécanismes de vérification n'aient suivi. On a automatisé l'écriture, mais pas la validation.

La solution n'est pas d'arrêter d'utiliser l'IA pour coder, mais d'ajouter une couche de vérification systématique entre la suggestion du LLM et l'exécution. Les registres comme npm et PyPI pourraient maintenir des listes de packages hallucinés connus et les bloquer préventivement. Les IDE pourraient vérifier automatiquement l'existence d'un package avant de suggérer son installation.

Mais le vrai angle mort reste humain : la pression de productivité pousse à faire confiance à l'IA. Le « vibe coding » n'est pas une mode, c'est un réflexe économique. Le slopsquatting nous rappelle brutalement que le code généré par IA n'est pas plus fiable que sa source, et que la source est statistique, pas factuelle.

À retenir

  • Le slopsquatting est né : des attaquants enregistrent les noms de packages hallucinés par les LLM sur les registres publics (npm, PyPI) pour y placer des malware.
  • 1 package sur 5 est halluciné : les LLM inventent des packages 19,7 % du temps. Même GPT-4o ne descend pas sous 23 % d'hallucinations.
  • Les défenses existantes sont inutiles : les protections anti-typosquatting ne détectent pas des noms totalement inventés qui ne ressemblent à aucun package connu.
  • 72 % des développeurs utilisent l'IA quotidiennement : le « vibe coding » amplifie mécaniquement la surface d'attaque. La vérification manuelle de chaque package devient indispensable.
  • La menace peut devenir ciblée : des attaquants peuvent délibérément provoquer des hallucinations spécifiques via du retrieval poisoning, transformant un bug statistique en arme.

Sources

  • VentureBeat · Forget typosquatting; slopsquatting is the software supply chain threat created by AI coding tools, 11 juillet 2026
  • Nature · Étude sur les taux d'hallucination des LLM dans la génération de code (citée par VentureBeat)
  • Socket · Analyse des vulnérabilités dans les packages open source, données 2026
← Retour aux news Publié le 12 juillet 2026 · Sources : VentureBeat, Nature, Socket