Специалисты из Тель-Авивского университета, Израильского технологического института и компании Intuit продемонстрировали атаку HalluSquatting. Она строится на склонности ИИ-ассистентов «выдумывать» адреса репозиториев и других ресурсов. Эксперты показали, что атакующий может заранее зарегистрировать такой несуществующий адрес, дождаться подключения ИИ-агента и добиться выполнения вредоносного кода на машине пользователя.

Исследователи объясняют, что для эксплуатации большинства промпт-инжектов нужен прямой контакт с жертвой. Например, злоумышленник скрывает вредоносные инструкции в письме, приглашении календаря, комментарии или логе, а затем должен каким-то образом доставить зараженный контент пользователю. HalluSquatting работает иначе, и в этом случае сам ИИ-агент приходит на вредоносный ресурс, поэтому такую атаку можно масштабировать без массовых рассылок и выбора целей.

Название HalluSquatting расшифровывается как adversarial hallucination squatting — сквоттинг, основанный на состязательных галлюцинациях. В целом атака напоминает тайпосквоттинг, но здесь атакующему нужно предугадать не человеческую опечатку, а адреса, которые LLM чаще всего «придумывают» в ходе обработки запросов на клонирование репозитория или установку навыка.

Затем злоумышленник регистрирует «выдуманное» имя на GitHub или в каталоге навыков и размещает там копию популярного проекта. В README или конфигурации атакующий может спрятать промпт-инжект с командой, вынуждающей ИИ установить бэкдор или ревер-шелл. В результате, когда ИИ-ассистент галлюцинирует и «придумывает» этот адрес, он попадает в ловушку, в итоге выполняя инструкции злоумышленника.

Исследователи протестировали атаку на Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw и NanoClaw. Во всех случаях им удалось добиться выполнения кода (в экспериментах использовались безопасные тестовые пейлоады).

По данным специалистов, проблема затрагивает базовые модели Gemini 2.5 Flash, Gemini 2.5 Pro, GPT-5.1, GPT-5.2, Sonnet 4.5 и Opus 4.5. Их галлюцинации оказались предсказуемыми и часто повторялись. К примеру, обнаружилось, что LLM склонны генерировать адреса вида repo-name/repo-name, принимая название проекта за имя владельца аккаунта.

Screenshot

Исследователи отмечают, что чаще всего подобные ошибки возникают с новыми и трендовыми проектами, которые отсутствовали в обучающих данных LLM. Так, для проектов, опубликованных до 2019 года, средний показатель галлюцинирования составлял лишь 0,9%, тогда как для репозиториев, созданных в 2025 году — уже 92,4%. В итоге при клонировании репозиториев пиковая доля галлюцинаций достигала 85%, а при установке навыков — 100%.

Авторы HalluSquatting предупреждают, что атака может стать механизмом для доставки малвари на множество независимых систем. Зараженные машины в итоге можно объединить в ботнет для DDoS-атак или майнинга криптовалюты, а также использовать в массовых вымогательских кампаниях. В отличие от традиционных ботнетов, в этом случае хакерам не потребуется использовать уязвимости, слабые пароли и так далее. Малварь будет устанавливать сам ИИ-агент, имеющий доступ к командной строке.

Разработчиков затронутых ИИ-инструментов предупредили о проблеме до публикации исследования, а часть деталей атаки пока решили не раскрывать. В качестве защитной меры специалисты советуют заставлять ИИ-агентов сначала искать и проверять нужный ресурс, а уже затем переходить к скачиванию. Также не рекомендуется запускать ИИ-инструменты в автоматическом режиме без подтверждения команд, ведь любой адрес, предложенный LLM, нельзя считать достоверным.

Отметим, что недавно о похожей технике атак под названием phantom squatting писали специалисты компании Palo Alto Networks. Суть этой проблемы заключается в том, что злоумышленники могут регистрировать несуществующие домены, которые «придумывают» LLM, а затем размещать на них фишинговые страницы и малварь.

В свою очередь, атака phantom squatting похожа на описанные еще в 2025 году атаки типа slopsquatting, в ходе которых хакеры создают вредоносные пакеты в PyPI или npm, используя названия, которые «выдумывают» ИИ-модели. Причем эта схема уже применялась злоумышленниками на практике в кампании PhantomRaven, когда малварь разместили в 126 пакетах npm, которые в итоге установили более 86 000 раз.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии