Assistentes de código com IA geram pacotes fictícios em cada cinco respostas

Assistentes de codificação baseados em inteligência artificial (IA), como o GitHub Copilot, Cursor AI e o ChatGPT, tornaram-se ferramentas indispensáveis para os programadores de software. Segundo um inquérito da Stack Overflow, mais de 76% dos programadores já utilizam estes assistentes para acelerar o desenvolvimento de código.

Contudo, a Check Point Software Technologies alerta para os riscos emergentes associados a esta nova realidade. Estes assistentes, embora úteis, têm tendência para “inventar” pacotes de software que não existem, levando os programadores a instalar componentes potencialmente maliciosos.

Um estudo conduzido por investigadores da Universidade do Texas em San Antonio, Universidade de Oklahoma e Virginia Tech revela que modelos de IA de código aberto geram pacotes fictícios em 21,7% das respostas, comparativamente com 5,2% nos modelos comerciais.

Mais de 200 mil nomes de pacotes falsos foram documentados num único estudo, enganando até programadores experientes. A situação agrava-se com um fenómeno translinguístico: modelos treinados para gerar código em Python sugerem frequentemente pacotes inexistentes de JavaScript, confundindo ambientes distintos e expondo os programadores a novos vetores de ataque interlinguísticos.

Os cibercriminosos já começaram a tirar partido destas falhas com uma técnica emergente denominada slopsquatting. Ao contrário do tradicional typosquatting, que explora erros tipográficos, o slopsquatting consiste em pré-registar os pacotes falsos sugeridos pela IA em repositórios populares como o npm (JavaScript) ou PyPI (Python). Assim, quando os programadores instalam os pacotes sugeridos, acabam por introduzir código malicioso nos seus sistemas.

Um caso emblemático ocorreu em 2023 com o pacote fictício “huggingface-cli”. Após detetar que assistentes de IA recomendavam repetidamente este pacote inexistente, um investigador registou-o no PyPI como experiência inofensiva. Milhares de programadores instalaram o pacote em poucos dias, muitos em projetos críticos. Embora inofensivo neste caso, o episódio demonstrou a vulnerabilidade grave que esta técnica representa.

Numa escala mais agressiva, um único pacote malicioso, amplamente recomendado por IA, poderia comprometer sistemas a nível global, originando exfiltração de dados, instalação de backdoors ou interrupções operacionais. A integração com pipelines CI/CD (Integração Contínua/Distribuição Contínua) agrava o cenário, permitindo que o código malicioso seja rapidamente promovido de desenvolvimento para produção.

Os mecanismos tradicionais de segurança não são suficientes para travar este tipo de ameaça, já que a maioria dos scanners de dependências se baseia na reputação e histórico dos pacotes, ficando assim ineficazes perante registos recentes ou falsos positivos de confiança.

A Check Point Software recomenda várias práticas essenciais para mitigar o risco de slopsquatting, como suspeitar de recomendações feitas por inteligência artificial e evitar instalar pacotes sugeridos sem verificação manual, utilizar versões corrigidas, ficheiros de bloqueio e verificação de hash criptográfica, manter listas fidedignas ou espelhos internos de pacotes verificados e aplicar revisões por pares e políticas de auditoria rigorosas às dependências geradas por IA.