Les assistants de code IA comme GPT hallucinent régulièrement des noms de bibliothèques qui n'existent pas. Des chercheurs en sécurité viennent de découvrir que 205 474 packages fictifs circulent déjà sur les dépôts publics.
Le piège est classique mais redoutable. Un développeur copie bêtement une ligne de code suggérée par son assistant IA. Le package semble légitime. L'installation réussit. Les tests passent. Le code malveillant se retrouve discrètement en production. En mars 2024, un chercheur de Lasso Security a démontré l'exploit en créant un faux package « huggingface-cli » que GPT recommandait régulièrement aux développeurs.
Le piège est classique mais redoutable.
Le problème s'aggrave avec l'adoption des copilotes IA en entreprise. Les développeurs français, comme leurs homologues mondiaux, font confiance à ces outils sans vérifier systématiquement chaque suggestion. Ce phénomène s'appelle « slopsquatting » : exploiter les hallucinations de l'IA pour glisser du code malveillant dans la chaîne d'approvisionnement logicielle (supply chain). C'est particulièrement grave pour les startups et PME qui manquent de ressources en sécurité informatique.