개발 인공지능
D
dev_to
AI Store에서 AI코딩으로 만들어진 앱을 만나보세요!
지금 바로 방문하기

AI가 허위 패키지 이름을 생성하며 해커가 준비 중이다

카테고리

프로그래밍/소프트웨어 개발

서브카테고리

인공지능

대상자

AI를 사용한 코드 생성에 관심 있는 개발자, 보안 전문가, DevOps 엔지니어

핵심 요약

  • AI가 생성하는 허위 패키지 이름의 비율 : 19.6% (USENIX 2025 연구)
  • 신규 공격 벡터 "slopsquatting" : AI가 생성한 이름을 기반으로 악의적 패키지가 등록됨
  • RSOLV의 대응 전략 : AI 인식 보안, 자동 복구, 성공 기반 결제 모델

섹션별 세부 요약

1. AI 생성 패키지의 위험성

  • AI는 express-validator-extended와 같은 허위 패키지 이름을 생성하는 경우가 많음
  • 해커는 AI의 출력을 분석해 악성 코드가 포함된 허위 패키지를 등록함
  • 개발자는 AI 추천을 직접 복사-붙여넣기하거나 자동화 도구를 통해 설치해 악성코드를 설치할 수 있음

2. USENIX 2025 연구 결과

  • 평균 허위 생성 비율 : 19.6% (상업 모델: 5.2%, 오픈소스 모델: 21.7%)
  • 테스트된 205,474개의 허위 패키지 이름 생성
  • huggingface-cli 예시 패키지: 3개월간 3만 회 이상 다운로드, 대형 기업의 요구사항에도 포함됨

3. 기존 보안 도구의 한계

  • 의존성 스캐너(SAST) : 실존 패키지의 취약점만 확인
  • 라이선스 검증 : 승인된 패키지 사용 여부만 확인
  • slopsquatting 탐지 : 패키지의 존재 여부를 확인하는 기능 미비

4. RSOLV의 AI 인식 보안 전략

  • AI-Era Detection :

```python

def detect_hallucinated_package(package_name, language):

```

  • 자동 복구 시스템 :
  • 예상 패키지 추천
  • 수정된 의존성 PR 생성
  • 보안 영향 분석 포함
  • 성공 기반 결제 모델 : 수정된 코드가 머지되면 비용 청구

5. 즉각적인 대응 조치

  • 최근 AI 생성 코드의 패키지 이름 검토
  • 패키지 생성 날짜 확인 : 매우 새로운 패키지에 주의
  • 패키지 유효성 검증 :

```bash

npm view [package-name]

pip show [package-name]

```

결론

  • AI 생성 패키지의 유효성을 매우 철저히 검증해야 하며, 자동 복구 도구를 도입해 보안 취약점을 즉시 수정해야 함
  • RSOLV의 자동화 시스템은 AI 인식 보안과 복구 속도를 10배 빠르게 처리함
AI security slopsquatting AI code generation malware package names security remediation
목록으로 원문 보기