image

Bootcamps ilimitados + curso de inglês para sempre

80
%OFF
Lista de conteúdos
Article image
Patrícia Gagliardi
Patrícia Gagliardi23/07/2025 13:33
Compartilhe
Randstad - Análise de DadosRecomendados para vocêRandstad - Análise de Dados

Sua IA de Programação Pode Estar te Enganando: Conheça o "Slopsquatting"

  • #Claude 3
  • #GitHub Copilot
  • #ChatGPT
  • #Inteligência Artificial (IA)
  • #Segurança da Informação

Você utiliza algum ferramenta IA como auxílio na programação? Você sabe que ela pode te colocar em risco?

Olá, comunidade de TI! 🚀

Todos nós estamos vendo o quanto a Inteligência Artificial está transformando o desenvolvimento de software. Ferramentas como Copilot, Claude e outros assistentes de código se tornaram copilotos incríveis, acelerando desde a criação de scripts simples até a estruturação de sistemas complexos. Mas, como toda nova tecnologia, ela traz consigo novos desafios de segurança.

Vamos falar sobre uma ameaça emergente que mira exatamente essa nova dinâmica: o Slopsquatting.

O que é Slopsquatting?

Você provavelmente já ouviu falar de typosquatting, a técnica em que cibercriminosos registram pacotes com nomes parecidos com os originais (ex: djanga em vez de django), esperando que um desenvolvedor cometa um erro de digitação.

O Slopsquatting é a evolução desse golpe, adaptada para o mundo da IA. Em vez de depender de um erro humano, ele explora as "alucinações" da própria IA.

Como assim, "alucinação"?

Modelos de linguagem, por vezes, inventam fatos com total confiança. No contexto da programação, uma IA pode gerar um bloco de código perfeitamente lógico que depende de um pacote ou biblioteca que simplesmente não existe. Ela "alucina" um nome de pacote que soa plausível para resolver um problema.

Como o Ataque Funciona na Prática?

O fluxo do ataque é perigosamente simples e eficaz:

  1. A IA Sugere: Um desenvolvedor pede à sua ferramenta de IA para gerar um código. A IA retorna uma solução que inclui um comando de instalação, como pip install pacote-fantasma-incrivel.
  2. O Criminoso se Antecipa: Cibercriminosos monitoram os padrões de alucinação das IAs mais populares. Eles identificam esses nomes de pacotes "fantasmas" que são frequentemente sugeridos e os registram em repositórios públicos como PyPI (para Python) ou npm (para JavaScript), mas contendo código malicioso.
  3. O Desenvolvedor Confia e Instala: O dev, confiando na conveniência e na aparente lógica da sugestão, copia e cola o comando no terminal. Ao fazer isso, ele não instala uma biblioteca útil, mas sim um malware diretamente em seu ambiente de desenvolvimento.

O perigo é que a sugestão vem de uma fonte que parece confiável (a IA), tornando a armadilha muito mais sutil que um simples erro de digitação.

Quem Está em Risco? Todos Nós.

  • Estudantes e Iniciantes: Que estão aprendendo a programar e dependem muito de assistentes de IA para obter respostas e exemplos de código.
  • Desenvolvedores Plenos e Sêniores: Que usam a IA para otimizar o fluxo de trabalho e podem, na pressa para entregar uma feature, executar um comando de instalação sem a devida verificação.

Pesquisas mostram que mesmo agentes de IA avançados, com mecanismos de validação, podem falhar e sugerir esses pacotes inexistentes, especialmente em tarefas mais complexas.

Como Proteger Você e sua Equipe?

A boa notícia é que podemos nos defender. A solução não é abandonar a IA, mas usá-la com uma mentalidade de segurança reforçada.

  1. Desconfie e Verifique (Para Todos): Trate o código gerado por IA como se fosse de uma nova pessoa na equipe. Antes de instalar qualquer dependência sugerida, faça uma verificação rápida no repositório oficial (PyPI, npm, etc.). O pacote existe? É popular? Tem uma manutenção ativa?
  2. Execute em Ambientes Isolados (Sandboxing): Uma prática de segurança fundamental. Teste comandos e códigos gerados por IA em ambientes contidos, como um contêiner Docker ou uma VM efêmera. Se o pacote for malicioso, o dano fica restrito a esse ambiente, sem comprometer sua máquina ou a rede da empresa.
  3. Adote Scanners de Vulnerabilidade e SBOMs: Integre ferramentas que escaneiam suas dependências em busca de vulnerabilidades conhecidas. O uso de um SBOM (Software Bill of Materials) também é crucial, pois cria um inventário de todos os componentes do seu software, facilitando a auditoria e o rastreamento da origem de cada pacote.
  4. Revisão Humana é Essencial: A IA é um assistente, não um substituto para o julgamento humano. Processos de Code Review devem incluir a validação de novas dependências.

Conclusão

O Slopsquatting é um lembrete claro de que, à medida que integramos a IA em nossos processos, nossas estratégias de segurança precisam evoluir junto. A resolução de dependências não pode ser vista apenas como uma conveniência; ela é um ponto crítico de segurança que exige um fluxo auditável e consciente.

Vamos usar o poder da IA com inteligência e segurança!

Compartilhe
Recomendados para você
GFT Start #7 .NET
GFT Start #7 - Java
Deal Group - AI Centric .NET
Comentários (2)
Patrícia Gagliardi
Patrícia Gagliardi - 23/07/2025 22:48

Agradeço o feedback sobre o artigo, que na realidade é mais um alerta, do que um artigo em si, o que justamente, acredito que faça ele ser de extrema utilidade no cenário em que estamos inseridos: IA se tornando parte das ferramentas de tecnologia, e, consequentemente, novas formas de ameaças.

 De fato, essa situação, traz a tona o questionamento, sobre métodos necessários, de proteção contra as ameaças emergentes produzidas pela IA, não só de forma individual, mas também, de forma conjunta, por parte de plataformas e ferramentas abertas. 

o grande fato, é que, a aplicação da IA na rotina cotidiana em si, já é uma realidade, sendo quase a “nova internet” em termos de avanço histórico, que sua chegada de forma acessível para todos, trouxe avanços e benefícios para a humanidade, porém, junto, chegaram também problemas que não eram nem a imaginados que existiriam.

Novamente fazendo uma analogia com a internet, com certeza, o avanço da IA, exigirá adequações de segurança que a acompanhe (assim esperamos rsrs).

DIO Community
DIO Community - 23/07/2025 15:20

Excelente alerta, Patrícia. Sua explicação sobre o slopsquatting é clara, objetiva e extremamente necessária para todos que usam assistentes de IA na programação. Ao trazer esse conceito de forma didática e com exemplos práticos, você não só informa como também educa desenvolvedores de todos os níveis sobre um risco pouco comentado, mas potencialmente devastador.

Gostei especialmente da forma como você contextualizou o problema a partir da “alucinação” das IAs, destacando como essa confiança automatizada pode abrir portas para ataques sofisticados. Além disso, os passos que você propôs para mitigar os riscos são realistas e aplicáveis no dia a dia das equipes de desenvolvimento.

Pensando nisso, você acredita que as plataformas de repositórios como PyPI e npm poderiam incorporar mecanismos proativos para identificar pacotes maliciosos gerados por slopsquatting?

Leia a seguir
Chrystine Vasconcelos
Como a IA Pode Transformar Seu Planejamento de Estudos e Maximizar Seu FocoChrystine Vasconcelos - 06 de Março
#Claude 3#ChatGPT
Vitor Bittencourt
Engenharia de Prompts: Criando Interações Inteligentes com Modelos de IAVitor Bittencourt - 22 de Fevereiro
#Claude 3#ChatGPT#IA Generativa#Inteligência Artificial (IA)#Engenharia de Prompt

GD

"os desenvolvedores vão parar de programar devido à IA"Gabriel Duarte - 29 de Outubro
#Claude 3#ChatGPT#Next.js
Recomendados para vocêRandstad - Análise de Dados