Nowości

Naukowcy pokazują atak HalluSquatting, zamieniający asystentów AI w botnet

ProgramowaniePatryk Raba

Posłuchaj tego artykułu

Spis treści
  1. Jak działa atak
  2. Skala zjawiska
  3. Dlaczego to ważne dla programistów
  4. Kontekst dla polskich zespołów

Zespół badaczy z Uniwersytetu Tel Awiwskiego, Technionu i firmy Intuit opisał nową technikę ataku o nazwie HalluSquatting, która wykorzystuje skłonność asystentów kodujących AI do halucynowania nazw repozytoriów, pakietów i wtyczek. Atakujący z wyprzedzeniem rejestrują fałszywe zasoby o nazwach, które modele AI najczęściej sobie zmyślają, a następnie umieszczają w nich złośliwe instrukcje, które model automatycznie pobiera i wykonuje.

Jak działa atak

Mechanizm HalluSquatting różni się od klasycznego prompt injection, który wymaga bezpośredniego kanału dotarcia do ofiary, na przykład złośliwego e-maila czy wiadomości. Tutaj atakujący najpierw śledzi popularne repozytoria i zadania, które programiści zlecają swoim asystentom AI, następnie sonduje model, by ustalić rozkład prawdopodobieństwa nazw, które ten najchętniej zmyśla przy danym typie zapytania. Na tej podstawie rejestruje realnie istniejący zasób o takiej właśnie fikcyjnej nazwie i wypełnia go złośliwym kodem lub instrukcjami.

Kiedy programista prosi asystenta AI o sklonowanie repozytorium, zainstalowanie paczki czy dodanie wtyczki, model może samodzielnie "znaleźć" i pobrać spreparowany zasób zamiast prawdziwego, ponieważ dokładnie taką nazwę wcześniej zmyślił. W efekcie złośliwy kod trafia do środowiska programisty bez żadnej interakcji z jego strony poza standardowym poleceniem.

Skala zjawiska

Najbardziej niepokojące są liczby. W zadaniach klonowania repozytoriów model halucynował fałszywe nazwy w nawet 85 procentach przypadków, a przy instalacji wtyczek czy skilli odsetek sięgał 100 procent. Badacze wykazali też, że halucynacje są w dużej mierze przenaszalne między różnymi modelami i aplikacjami, co oznacza, że raz zarejestrowany złośliwy zasób może działać skutecznie przeciwko wielu różnym narzędziom jednocześnie.

To właśnie ta przenaszalność i brak konieczności bezpośredniego celowania w ofiarę sprawiają, że autorzy porównują HalluSquatting do klasycznej propagacji botnetów, a nie do pojedynczego, spersonalizowanego ataku. Jeden zarejestrowany fałszywy pakiet może potencjalnie infekować środowiska tysięcy programistów korzystających z różnych asystentów AI, którzy niezależnie od siebie trafiają na tę samą halucynację.

Dlaczego to ważne dla programistów

Testom poddano dziewięć popularnych narzędzi, w tym Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI od Google oraz rodzinę asystentów OpenClaw. We wszystkich przypadkach badacze zademonstrowali zdalne wykonanie kodu lub zdalne wywołanie narzędzi, co w praktyce pozwala na instalację złośliwego oprogramowania na komputerze programisty bez jego świadomej zgody.

Atak jest szczególnie groźny, bo dotyka fundamentalnej cechy dzisiejszych dużych modeli językowych, czyli tendencji do wymyślania wiarygodnie brzmiących, ale nieistniejących nazw, kiedy model nie jest pewien odpowiedzi. Dopóki halucynacje pozostają nieodłączną cechą LLM-ów, dopóty każdy system, który automatycznie wykonuje działania na podstawie takich nazw, pozostaje podatny na tę klasę ataków.

Kontekst dla polskich zespołów

Wiadomość trafia w moment, gdy polskie firmy programistyczne coraz powszechniej korzystają z agentów kodujących w codziennej pracy, od GitHub Copilot po Cursor i Windsurf. HalluSquatting pojawia się zaledwie kilka dni po ujawnieniu luki GhostApproval, innej podatności dotykającej edytorów AI, co pokazuje, że bezpieczeństwo narzędzi agentowych w programowaniu staje się jednym z najbardziej dynamicznych obszarów badań nad cyberbezpieczeństwem AI w tym roku.

Zespoły programistyczne powinny traktować sugestie asystentów AI dotyczące nazw pakietów i repozytoriów z tą samą ostrożnością co linki w podejrzanych e-mailach, weryfikując źródło przed uruchomieniem jakiegokolwiek pobranego kodu. Badacze podkreślają potrzebę silniejszych mechanizmów walidacji wbudowanych bezpośrednio w narzędzia deweloperskie oparte na AI, a nie pozostawiania tej odpowiedzialności wyłącznie użytkownikom.

Źródła: New HalluSquatting Attack Allows Hackers to Poison AI Coding Assistants Into Installing Botnet Malware (cybersecuritynews.com), Agentic Botnets Attack Uses HalluSquatting to Hijack AI Coding Assistants (cyberpress.org), New HalluSquatting Attack Could Trick AI Coding Assistants Into Installing Botnet Malware (thehackernews.com)

Udostępnij: