Rund 20 Prozent aller von KI-Modellen erzeugten Code-Beispiele enthalten ein Paket, das gar nicht existiert, das so genannte „Slopsquatting”. Diese Zahl aus einer vielzitierten Studie zu Paket-Halluzinationen markiert den Kern des Problems: Ein Agent schlägt eine Bibliothek vor, ein Angreifer registriert genau diesen erfundenen Namen, und die nächste Installation lädt Schadcode nach.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Ein neues Kommandozeilen-Tool namens deptrust prüft jedes Paket, das ein KI-Coding-Agent installieren will, vorab gegen Schwachstellen-Datenbanken. Relevant ist das, weil generierter Code inzwischen ganze Abhängigkeitsbäume in Projekte zieht, die kein Mensch je gesichtet hat. Genau dort entsteht ein neues Einfallstor in die Software-Lieferkette.

Das Wichtigste in Kürze

  • deptrust gleicht vorgeschlagene Paketversionen vor der Installation gegen die Datenbanken OSV und die GitHub Advisory Database ab und deckt 14 Ökosysteme wie npm, PyPI und Maven ab.
  • Kritische und hohe Schwachstellen blockiert das Tool, mittlere und unbekannte kommen in die Prüfung, brandneue Versionen unter 72 Stunden werden gesondert markiert.
  • Der Angriffsweg „Slopsquatting“ nutzt halluzinierte Paketnamen aus KI-Ausgaben aus; erste Schadpakete summieren bereits Zehntausende Downloads.
  • Cyber Resilience Act und NIS2 verlagern die Haftung für die Lieferkette auf die Hersteller, inklusive maschinenlesbarer Software-Stückliste ab Dezember 2027.

Wie hält ein CLI-Tool KI-Agenten von verwundbaren Abhängigkeiten ab?

Paket mit Aufklebern in Briefkasten mit Warnungen und Hausnummer 42
deptrust prüft Abhängigkeiten auf Schwachstellen bevor Pakete installiert werden und blockiert kritische Funde automatisch

deptrust liest die Abhängigkeitsdateien eines Projekts, löst jede Paketversion über die offiziellen Registries auf und prüft sie parallel gegen Schwachstellen-Datenbanken, bevor irgendetwas installiert wird. Kritische Funde blockiert das Tool, unklare Fälle schickt es in die manuelle Prüfung.

Der entscheidende Kniff liegt im Zeitpunkt. Klassische Scanner laufen erst, nachdem der Code fertig ist, und melden Schwachstellen im Nachgang. deptrust setzt davor an und fragt direkt bei OSV und der GitHub Advisory Database an, ohne Zwischendienst. Fehlt für ein Ökosystem die Abdeckung, meldet das Tool ausdrücklich „unbekannt“ statt fälschlich „sicher“.

Als MCP-Server klinkt sich deptrust direkt in KI-Agenten wie Claude ein und stellt drei Werkzeuge bereit: Paket prüfen, sichere Version vorschlagen, Versionen vergleichen. Die Ausgaben bleiben bewusst kompakt, damit der Agent Bewertung und Empfehlung erhält, ohne sein Kontextfenster mit vollen Advisory-Texten zu fluten. Als Auslöser nennt der Entwickler schlicht, dass KI-Agenten permanent veraltete Versionen vorschlagen.

Halluzinierte Pakete als Lieferketten-Risiko
Was KI-generierter Code ungeprüft in die Software-Lieferkette einschleust.

20 %
der KI-Code-Beispiele nennen ein Paket, das nicht existiert

72 h
junge Paketversionen markiert deptrust gesondert zur Prüfung

14
Paket-Ökosysteme deckt das Tool ab, von npm bis Maven

Wie verlässlich Modelle dieselben Fantasienamen wiederholen

Name kehrt in mehreren Läufen wieder
58 %
Name konstant über 10 Anfragen
43 %

Warum ist Slopsquatting mehr als ein theoretisches Risiko?

Slopsquatting bezeichnet Angriffe, bei denen Kriminelle halluzinierte Paketnamen aus KI-Ausgaben in öffentlichen Registries registrieren. Weil Modelle dieselben erfundenen Namen wiederholt vorschlagen, wird aus einem Zufallsfehler ein planbarer Angriffsweg.

Ein Coding-Agent, der ohne Kontrolle Pakete zieht, wird zum Sicherheitsrisiko.

— Markus Seyfferth, Chefredakteur Dr. Web

Der Begriff geht auf den Sicherheitsforscher Seth Larson zurück, das „Slop“ steht für die schludrige KI-Ausgabe. Die Halluzinationen sind kein Rauschen: In der zitierten Studie tauchten 58 Prozent der erfundenen Namen über mehrere Durchläufe hinweg erneut auf, 43 Prozent sogar konstant über zehn identische Anfragen. Ein Angreifer muss also nur beobachten, welche Namen die Modelle bevorzugt erfinden.

Noch ist kein breit erfolgreicher Slopsquatting-Angriff dokumentiert, doch erste Schadpakete über diesen Vektor haben bereits Zehntausende Downloads gesammelt. Wie hart Open-Source-Projekte gegensteuern, zeigt die Godot-Community, die KI-generierten Code komplett verbietet. Zugleich belegen Benchmarks, dass KI-Agenten mit erfahrenen Entwicklern mithalten, weshalb ihr ungeprüfter Zugriff auf Registries erst recht ins Gewicht fällt.

Was bedeutet das für Dev-Teams mit KI-Assistenten im DACH-Raum?

Der Cyber Resilience Act macht Hersteller für ihre gesamte Lieferkette verantwortlich und verlangt ab Dezember 2027 eine maschinenlesbare Software-Stückliste. NIS2 verschärft parallel die Meldepflichten. Ungeprüfter KI-Code wird damit vom Sicherheits- zum Haftungsthema.

Der CRA gilt für jedes Unternehmen, das Produkte mit digitalen Elementen in der EU herstellt oder vertreibt, und kennt keine KMU-Ausnahme. In der Praxis verlangt das eine SBOM, kontinuierliches Dependency-Scanning und klare Regeln für veraltete Komponenten. Ein Agent, der eigenmächtig ein verwundbares Paket einzieht, unterläuft genau diese Nachweispflicht.

Konkret sollten Teams KI-Agenten nie ohne Freigabe-Schranke oder Allowlist installieren lassen und jede vorgeschlagene Abhängigkeit samt Registrierungsdatum und Herausgeber gegen die Registry prüfen. Die Cybersecurity-Grundlagen für KMU gehören ohnehin auf die Agenda, und die Lieferkette denken Teams am besten gleich mit; dass Sicherheit Chefsache ist, gilt für KI-Werkzeuge doppelt. Auch der Streit um Vertrauen in kryptografische Standards zeigt, wie sehr die gesamte Kette an einzelnen Bausteinen hängt.

Mehr Newshunger?

4,1 18 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?