Ferramentas de inteligência artificial estão transformando o desenvolvimento de software. Times conseguem escrever código mais rápido, automatizar tarefas repetitivas e ganhar escala em atividades que antes exigiam muito esforço humano. Mas a aceleração traz novos riscos. Um deles é o slopsquatting, um tipo emergente de ataque que nasce justamente das sugestões alucinadas dos próprios modelos de IA.
Esse tipo de ataque funciona a partir de um detalhe técnico com consequências grandes. Às vezes, a IA sugere o uso de um pacote de software que, na verdade, não existe. O nome parece certo, o contexto faz sentido, o trecho de código roda sem erro imediato. Só que o pacote é fictício. Criminosos monitoram esses padrões e registram previamente os nomes inventados pela IA, publicando pacotes maliciosos nos repositórios públicos. Quando um desenvolvedor, sem perceber, instala esse pacote gerado automaticamente, abre uma porta de entrada para o atacante.
O risco cresce porque a ameaça é silenciosa. O código parece legítimo. A IA não apresenta dúvida. Tudo corre dentro do fluxo esperado. E como esses erros são replicáveis, os atacantes conseguem prever com precisão quais nomes a IA tende a sugerir. Isso torna possível montar uma armadilha antecipada, direcionada para um erro que ainda vai acontecer.
Esse tipo de exploração atinge a base da cadeia de suprimentos digital. O código não está apenas errado. Está comprometido desde o início. A segurança, nesse novo contexto, deixa de ser um processo isolado e técnico. Ela precisa ser pensada como parte do próprio modelo de adoção de IA. Não basta implementar ferramentas para acelerar entregas. É necessário entender como essas ferramentas funcionam, quais padrões elas tendem a repetir e que tipo de comportamento elas induzem.
Existem soluções técnicas para o problema. Ferramentas que escaneiam pacotes, bloqueiam downloads suspeitos e comparam dependências com bases confiáveis já estão disponíveis. Mas nenhuma delas substitui o entendimento crítico do time de engenharia. A primeira camada de defesa continua sendo a atenção ao que está sendo automatizado.
A adoção de IA no desenvolvimento é uma decisão estratégica. Gera ganhos claros de eficiência, mas também cria novas superfícies de ataque. Lideranças técnicas precisam estar preparadas para lidar com esse cenário. A segurança não é mais um passo final na entrega. Ela começa quando o código ainda está sendo gerado — e, cada vez mais, quando esse código está sendo escrito por uma máquina.
