Атака HalluSquatting превращает популярные ИИ-ассистенты для кода в инструмент сборки ботнетов

Исследователи описали технику, при которой заранее зарегистрированные «выдуманные» имена пакетов и репозиториев позволяют массово заражать машины через ИИ-ассистентов, скачивающих ресурсы автоматически. По оценкам авторов, метод затрагивает девять распространённых инструментов и впервые делает prompt injection масштабируемым без прямого доступа к каждой жертве.

Исследователи из Тель-Авивского университета, Техниона (Technion) и компании Intuit опубликовали работу об атаке, которую они назвали HalluSquatting (от «hallucination squatting» — «сквоттинг на галлюцинациях»). По их данным, техника позволяет использовать популярные ИИ-ассистенты для написания кода как канал доставки вредоносного ПО и потенциально собирать из заражённых машин ботнет — сеть подконтрольных устройств для рассылок, вымогательского ПО и DDoS-атак.

В основе метода лежит известное свойство больших языковых моделей (LLM): они склонны «галлюцинировать», то есть уверенно придумывать несуществующие имена ресурсов — пакетов, репозиториев, дополнений. Авторы предлагают заранее вычислить такие вероятные вымышленные имена, зарегистрировать их первыми и дождаться, пока ассистент по запросу пользователя сам скачает подготовленную злоумышленником «ловушку». Если агент может загрузить внешний ресурс и затем выполнить команды с минимальным контролем со стороны человека, это, по описанию исследователей, открывает путь к удалённому выполнению кода.

По измерениям авторов, при запросе на клонирование популярного репозитория модель указывает неверное расположение примерно в 85% случаев, а при установке «навыков» (skills) доля галлюцинаций достигает 100%. Поскольку такие ошибки предсказуемы и переносятся между разными моделями и приложениями, атака работает без прямого канала к каждой конкретной жертве.

Именно это отличает HalluSquatting от большинства прежних prompt-инъекций. Обычно вредоносные инструкции приходится «проталкивать» (push) в конкретную цель — например, встраивать в отдельное письмо или приглашение в календаре, что ограничивает масштаб. Здесь же речь идёт о «вытягивающей» (pull) схеме: жертвой становится любой, чей ИИ-агент сам обращается к скомпрометированному ресурсу. Авторы называют её первой prompt-инъекцией такого типа, поддающейся массовому масштабированию.

В числе затронутых инструментов исследователи перечисляют девять распространённых ИИ-ассистентов, включая Cursor и Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot и Cline. По сообщениям, работа была передана в рамках ответственного раскрытия разработчикам приложений, поставщикам базовых моделей и сопровождающим соответствующих фреймворков.

Проблема не гипотетическая: ранее в экосистемах уже находили вымышленные пакеты, которые ИИ-инструкции успевали распространить по множеству проектов, а специалисты Palo Alto Networks Unit 42 описывали «phantom squatting» — сотни тысяч незарегистрированных «галлюцинированных» доменов.

Источник: arstechnica.com

Связь с редакцией