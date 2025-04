L'hallucination est largement reconnue comme un inconvénient important pour les grands modèles de langage (LLM). De nombreux travaux ont tenté de réduire l'ampleur de l'hallucination. Jusqu'à présent, ces efforts ont surtout été empiriques, ce qui ne permet pas de répondre à la question fondamentale de savoir s'il est possible d'éliminer complètement l'hallucination. Selon une étude de février 2024, l'hallucination est inévitable . Ce serait une limitation innée des grands modèles de langage (LLM) de l'intelligence artificielle (IA).Selon un nouveau rapport d'experts en cybersécurité, les développeurs qui s'appuient sur de grands modèles de langage (LLM) pour créer du code pourraient, sans le savoir, s'exposer à un nouveau type d'attaque de la chaîne d'approvisionnement. Un acteur de la menace demanderait à un LLM de créer du code. Le code qu'il renvoie peut contenir des logiciels open source qui n'existent pas, un problème courant pour l'IA.Cette nouvelle approche est désignée sous le terme de "Slopsquatting", qui a été inventé par le développeur Seth Larson, de la Python Software Foundation (PSF). Il s'agit d'un jeu de mots sur le "typosquatting", une tactique populaire utilisée par les acteurs de la menace pour les campagnes d'hameçonnage, où ils enregistrent des versions légèrement mal orthographiées de domaines légitimes.Grâce au "Slopsquatting", l'auteur de la menace pourrait alors publier un faux paquet dans un dépôt officiel avec les mêmes détails que le paquet halluciné et y insérer un code malveillant. Lorsqu'un autre utilisateur demande au même LLM de générer du code et qu'il renvoie la même réponse hallucinée, la victime est invitée à télécharger le paquet malveillant.Ce phénomène est plus probable qu'il n'y paraît, selon une étude sur les hallucinations de paquets réalisée par des chercheurs de Virginia Tech et des universités de l'Oklahoma et du Texas. Ils ont testé 16 LLM de génération de code et les ont incités à générer 576 000 échantillons de code Python et JavaScript.La recherche a révélé qu'en moyenne, un cinquième des paquets recommandés n'existait pas, ce qui représente 205 000 noms de paquets hallucinés uniques. Plus important encore, elle a révélé que 43 % des mêmes paquets hallucinés étaient suggérés à chaque fois lorsque les mêmes invites étaient relancées 10 fois chacune, et que 58 % d'entre eux étaient répétés plus d'une fois. Seuls 39 % ne sont jamais réapparus.Les paquets hallucinés étaient également "sémantiquement convaincants", ce qui les rendait difficiles à repérer par les développeurs. En outre, ils étaient d'autant plus susceptibles d'être créés que la "température" du LLM était élevée - en d'autres termes, si le LLM avait été réglé pour créer davantage de réponses aléatoires. Cela représente un risque particulier pour ceux qui sont attachés à l'idée du « vibe coding », où les développeurs sont plus susceptibles de faire aveuglément confiance au contenu de l'IA.Le meilleur moyen d'atténuer le "slopsquatting" consiste pour les développeurs à surveiller de manière proactive chaque dépendance et à utiliser des outils pour contrôler les dépendances avant de les ajouter aux projets, selon le rapport. Fait intéressant, les chercheurs affirment que les hallucinations sont persistantes. Cela confirme que les hallucinations des grands modèles de langage (LLM) sont là pour rester. Une étude de septembre 2024 avait déjà révélé ces conclusions. L'étude affirmait que les hallucinations des grands modèles de langage (LLM) découlent de leurs structures mathématiques et logiques fondamentales. En augmentant la complexité et la capacité des modèles, il est possible de réduire la fréquence de ces hallucinations, mais il serait impossible de les éliminer complètement.Pour plus d'information, voici le rapport de Socket concernant cette découverte :Les grands modèles de langage (LLM) sont en train de devenir un élément essentiel des flux de développement modernes. Les outils d'assistance au code alimentés par l'IA, tels que Copilot, ChatGPT et Cursor, sont désormais utilisés pour aider à écrire toutes sortes de choses, des applications web aux scripts d'automatisation. Ils permettent de réaliser des gains de productivité qui changent la donne, mais introduisent également de nouveaux risques, dont certains sont entièrement nouveaux.L'un de ces risques est le, un nouveau terme désignant un type d'attaque étonnamment efficace de la chaîne d'approvisionnement en logiciels qui apparaît lorsque les LLM « hallucinent » des noms de paquets qui n'existent pas en réalité. Si vous avez déjà vu une IA recommander un paquet et que vous vous êtes demandé si c'était bien réel, vous avez déjà rencontré les fondements du problème.Et maintenant, les attaquants s'en rendent compte.Le terme slopsquatting a été inventé par le développeur de PSF, Seth Larson, et popularisé dans un article récent par le créateur d'Ecosyste.ms, Andrew Nesbitt. Il s'agit de la pratique consistant à enregistrer un, dans l'espoir que quelqu'un, guidé par un assistant IA, le copiera-collera et l'installera sans se rendre compte qu'il s'agit d'un faux.Il s'agit d'une variante du typosquatting : au lieu de s'appuyer sur les erreurs des utilisateurs, le slopsquatting s'appuie sur les erreurs de l'IA.Un nouvel article universitaire intituléoffre la première analyse rigoureuse à grande échelle des hallucinations de paquets dans le code généré par les LLM. La recherche a été menée par une équipe de l'Université du Texas à San Antonio, Virginia Tech et l'Université de l'Oklahoma, et a été récemment mise à la disposition du public dans une prépublication.Les chercheurs ont testé 16 grands modèles de génération de code, tant commerciaux (comme GPT-4 et GPT-3.5) qu'open source (comme CodeLlama, DeepSeek, WizardCoder et Mistral), générant un total de 576 000 échantillons de code Python et JavaScript.Voici les principales conclusions :Ces résultats indiquent l'existence d'un modèle systémique et reproductible, et non d'erreurs isolées.Dans le cadre d'expériences complémentaires, les chercheurs ont réexécuté dix fois chacune des 500 invites qui avaient précédemment déclenché des hallucinations. En analysant la fréquence de réapparition des paquets hallucinés dans les générations répétées, ils ont constaté un clivage intéressant.Lorsque la même invite déclenchant des hallucinations est relancée dix fois, 43 % des paquets hallucinés sont répétés à chaque fois, tandis que 39 % ne réapparaissent jamais. Ce contraste frappant suggère un modèle bimodal de comportement : les hallucinations sont soit très stables, soit totalement imprévisibles.Dans l'ensemble, 58 % des paquets hallucinés ont été répétés plus d'une fois au cours des dix exécutions, ce qui indique que la majorité des hallucinations ne sont pas simplement du bruit aléatoire, mais des artefacts répétables de la façon dont les modèles réagissent à certaines invites. Cette répétabilité augmente leur valeur pour les attaquants, car il est plus facile d'identifier des cibles viables de slopsquatting en observant seulement un petit nombre de sorties de modèles.Cette cohérence rend le slopsquatting plus viable qu'on ne pourrait le penser. Les attaquants n'ont pas besoin de gratter d'énormes journaux d'invite ou de forcer brutalement des noms potentiels. Ils peuvent simplement observer le comportement du LLM, identifier les noms communément hallucinés et les enregistrer.Les LLM sont plus enclins à l'hallucination lorsque les paramètres de température augmentent. La température fait référence au paramètre utilisé pour ajuster le caractère aléatoire des réponses générées.Une température plus élevée signifie plus d'aléatoire, ce qui conduit à des résultats plus « créatifs », y compris des paquets fictifs. À des valeurs de température élevées, certains modèles ont commencé à générer plus de paquets hallucinés que de paquets valides.Les chercheurs ont également constaté que les modèles verbeux (ceux qui ont tendance à recommander un plus grand nombre de paquets uniques) présentaient des taux d'hallucination plus élevés. En revanche, les modèles plus conservateurs qui réutilisent un sous-ensemble de paquets plus petit et plus fiable sont plus performants, tant en termes d'évitement des hallucinations que de qualité globale du code.Le fait que de nombreux noms de paquets hallucinés soient sémantiquement convaincants constitue une préoccupation majeure. En utilisant la distance de Levenshtein pour mesurer la similarité avec les paquets réels, l'étude a trouvé :Les noms hallucinés sont donc difficiles à repérer à l'œil nu par les développeurs, en particulier lorsqu'ils apparaissent dans des extraits de code par ailleurs corrects.Les chercheurs ont également analysé si les paquets Python hallucinés correspondaient parfois à des paquets valides dans d'autres écosystèmes. Ils ont constaté que 8,7 % des paquets Python hallucinés étaient en fait des paquets npm (JavaScript) valides, ce qui suggère que les LLM confondent parfois les langages lorsqu'ils suggèrent des dépendances.Ils ont examiné si les paquets hallucinés étaient auparavant réels mais avaient été supprimés de dépôts tels que PyPI. La réponse : pas vraiment. Seuls 0,17 % des noms hallucinés correspondent à des paquets supprimés de PyPI entre 2020 et 2022. La grande majorité d'entre eux étaient entièrement fictifs.L'un des résultats les plus encourageants est que certains modèles, en particulier GPT-4 Turbo et DeepSeek, ont pu identifier correctement les noms de paquets hallucinés qu'ils venaient de générer, atteignant une précision de plus de 75 % dans les tests de détection internes.Cela laisse entrevoir des stratégies d'atténuation possibles, telles que l'autoraffinement, où un modèle vérifie la plausibilité de ses propres résultats avant de les présenter à l'utilisateur.Pour évaluer les hallucinations de paquets, les chercheurs ont constitué deux grands ensembles de données d'invites : l'un provenant des questions de Stack Overflow, et l'autre généré à partir des descriptions des paquets les plus téléchargés sur PyPI et npm. Ces invites ont été conçues pour refléter les demandes réalistes des développeurs sur un large éventail de tâches et de bibliothèques.Les exemples d'invites de codage comprenaient des tâches courantes, telles que :Ces invites ont été introduites dans 16 LLM différents afin d'analyser quand et comment les noms de paquets hallucinés apparaissaient.Bien que les chercheurs aient identifié des milliers de noms de paquets hallucinés uniques, ils ont délibérément décidé de n'enregistrer aucun d'entre eux dans des dépôts publics. Une telle démarche, même sans code, aurait pu être considérée comme trompeuse ou perturbatrice pour des plateformes telles que PyPI. Au lieu de cela, ils se sont concentrés sur la simulation et l'analyse à grande échelle, prouvant ainsi le risque sans y contribuer.Les attaques par confusion de paquets, telles que le typosquatting, la confusion de dépendances et maintenant le slopsquatting, restent l'un des moyens les plus efficaces de compromettre les écosystèmes open source. Les LLM ajoutent une nouvelle couche d'exposition : des paquets hallucinés peuvent être générés de manière cohérente et partagés à grande échelle par le biais d'auto-complétions, de tutoriels et d'extraits de code assistés par l'IA.Cette menace s'étend. Si un seul paquet halluciné est largement recommandé par les outils d'IA et qu'un attaquant a enregistré ce nom, le potentiel de compromission à grande échelle est réel. Le risque de slopsquatting est encore amplifié par la montée en puissance du « vibe coding » assisté par l'IA. Inventé par Andrej Karpathy, ce terme décrit un changement dans la manière dont les logiciels sont écrits : au lieu de rédiger le code ligne par ligne, les développeurs décrivent ce qu'ils veulent, et un LLM génère la mise en œuvre.

There's a new kind of coding I call "vibe coding", where you fully give in to the vibes, embrace exponentials, and forget that the code even exists. It's possible because the LLMs (e.g. Cursor Composer w Sonnet) are getting too good. Also I just talk to Composer with SuperWhisper… — Andrej Karpathy (@karpathy) February 2, 2025