Les hallucinations de la génération de code par IA : une nouvelle menace pour la chaîne d’approvisionnement logicielle
L’essor des outils de génération de code basés sur l’IA révolutionne le développement de logiciels, mais introduit également de nouveaux risques pour la chaîne d’approvisionnement logicielle. Ces outils « hallucinent » parfois des paquets logiciels inexistants, une vulnérabilité exploitée par les attaquants. Ils créent des paquets malveillants et les téléchargent sur des registres comme PyPI ou npm. Lorsque l’IA « hallucine » à nouveau le nom, l’installation des dépendances exécute le malware. Des études montrent qu’environ 5,2 % des suggestions d’IA commerciales concernent des paquets inexistants, contre 21,7 % pour les modèles open source. Cette « hallucination » présente un modèle bimodal : certains noms inventés réapparaissent constamment, tandis que d’autres disparaissent. Cette forme de typosquatting, appelée « slopsquatting », exige des développeurs qu’ils vérifient attentivement le code généré par l’IA. La Python Software Foundation travaille activement à atténuer ces risques.