Нейросеть придумала ссылку, а хакеры уже ждут, пока вы по ней перейдёте. Разбор атаки HalluSquatting

leer en español

11367
Нейросеть придумала ссылку, а хакеры уже ждут, пока вы по ней перейдёте. Разбор атаки HalluSquatting

Обычная «галлюцинация» оказалась слишком удобной для чужого замысла.

image

Ошибки ИИ обычно выглядят как безобидные выдумки, но предсказуемые галлюцинации в названиях репозиториев позволили специалистам показать, как девять популярных ИИ-инструментов могут загрузить подконтрольный ресурс и выполнить чужие команды. Новый метод получил название HalluSquatting и затрагивает Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw, ZeroClaw и NanoClaw.

Атака начинается с популярного нового репозитория или навыка для ИИ-агента. Злоумышленник выясняет, какой неверный адрес модель генерирует чаще всего, заранее регистрирует такой ресурс и помещает внутрь вредоносные инструкции или код. Когда пользователь просит агента установить нужный компонент, модель может придумать адрес, скачать подмену и запустить её через встроенный терминал.

В тестах модели ошибались при выборе адреса репозитория в 85% случаев, а при установке новых навыков показатель доходил до 100%. Галлюцинации повторялись у разных моделей и сохранялись на уровне приложений, поэтому один зарегистрированный ресурс мог подходить сразу для нескольких инструментов.

Специалисты продемонстрировали удалённый запуск инструментов и кода, однако работа описывает лабораторные испытания, а не подтверждённую вредоносную кампанию. При реальной атаке заражённые устройства можно было бы объединить в ботнет для DDoS-атак или майнинга криптовалют, но такие последствия в работе рассматривались как возможный сценарий.

Авторы заранее сообщили о проблеме разработчикам приложений и моделей, а также администраторам площадок и скрыли детали, которые упростили бы повторение атаки. Для снижения риска пользователям рекомендуют проверять точный адрес каждого репозитория и другого ресурса до загрузки и запуска через ИИ-агента.