Des dirigeants technologiques prévoient que l’IA générera bientôt la majorité du code informatique, avec des prévisions atteignant 95%. Toutefois, cette avancée présente un risque croissant pour la sécurité logicielle via le « slopsquatting », phénomène où l’IA propose des paquets fictifs exploitables par des acteurs malveillants. Une vigilance accrue et des contrôles rigoureux sont donc essentiels pour sécuriser cette transition technologique.
Des dirigeants du secteur de la technologie estiment que l’intelligence artificielle produira prochainement une grande partie du code informatique. En juin 2023, Thomas Dohmke, le PDG de GitHub, a anticipé que Copilot générerait 80% du code. Récemment, Kevin Scott, directeur technique de Microsoft, avançait même un chiffre atteignant les 95% d’ici 5 ans. Par contre, même avec cet optimisme, le code généré par l’IA engendrerait de nouveaux risques pour la chaîne d’approvisionnement en logiciels. Cela se fera à travers un phénomène naissant : « slopsquatting ». Il s’agit d’un code malveillant pouvant se glisser dans les bases de code sans être détecté lors des inspections manuelles ou automatiques.
Les modèles d’IA génèrent des paquets fictifs qui menacent la sécurité logicielle
Publiée en mars 2025, une étude a analysé 576 000 extraits de code générés par l’IA en JavaScript et en Python. D’après cette recherche, 5,2 % des paquets suggérés par des modèles commerciaux comme ChatGPT-4 n’existaient pas. Ce taux atteint même 21,7 % avec certains modèles Open Source, tels que :
- CodeLlama ;
- DeepSeek ;
- WizardCoder ;
Les chercheurs ont aussi remarqué que ces hallucinations avaient tendance à se répéter. 58% des paquets générés se manifestent de nouveau, les rendant faciles à exploiter par les acteurs malveillants.
À ce jour, aucun cas documenté de slopsquatting actif n’a été signalé. Toutefois, selon l’entreprise Socket, le risque est important, car les paquets hallucinés par l’IA présentent un haut niveau de cohérence et peuvent facilement apparaître dans les suggestions automatiques.
Dans ce cadre, un consultant porté exploitant l’IA pour accélérer le développement de ses projets clients doit redoubler de prudence. En effet, l’exploitation d’un seul paquet inexistant par un individu malveillant pourrait compromettre l’ensemble d’un projet si une vérification préalable n’est pas effectuée.
Vérifier manuellement les suggestions de l’IA pour éviter le slopsquatting
Pour Seth Michael Larson, développeur à la Python Software Foundation, le phénomène slopsquatting s’est inspiré du typosquatting. Celui-ci s’appuie sur des erreurs de frappe des utilisateurs. Dans ce contexte, la faute n’est pas attribuée à un humain, mais plutôt à l’IA.
D’après les résultats de l’étude, à peu près 38 % des noms hallucinés étaient inspirés de paquets existants. De plus :
- 13 % provenaient de fautes typographiques ;
- 51 % étaient entièrement inventés.
Dans 8,7 % des cas, les paquets Python proposés étaient en fait approuvés dans d’autres écosystèmes (comme npm). Cela laisse penser que l’IA confond parfois les langages de programmation.
Pour un consultant porté, autonome dans la conduite de projets techniques, ce type de confusion peut devenir problématique s’il s’appuie sur des suggestions automatisées sans validation rigoureuse.
Par conséquent, les experts conseillent de prendre plusieurs précautions comme :
- Vérifier les noms de paquets de manière manuelle ;
- Utiliser des outils de sécurisation (lockfiles, scanners de dépendances, vérifications de hachage) ;
- Exécuter tout code IA dans des environnements isolés.
La recherche a également démontré qu’un paramétrage plus prudent des modèles, incluant une température plus basse, permettrait de réduire les hallucinations. Selon Feross Aboukhadijeh, PDG de Socket, ces faux paquets peuvent sembler authentiques et crédibles. D’autant que certaines IA comme celles de moteurs de recherches, cela relaie parfois leur existence sans discernement.