Nowości
HalluSquatting: nowy atak zamienia halucynacje AI w kanał dystrybucji botnetów

Spis treści
Zespół badaczy z Uniwersytetu Tel Awiwskiego, Technionu i firmy Intuit opisał nową technikę ataku na asystentów kodujących oparte na sztucznej inteligencji. HalluSquatting wykorzystuje dobrze znaną słabość dużych modeli językowych, czyli skłonność do zmyślania nazw pakietów, repozytoriów i wtyczek, by w sposób w pełni zautomatyzowany podrzucać narzędziom deweloperskim złośliwy kod prowadzący do instalacji botnetów.
Mechanizm ataku różni się od klasycznego prompt injection, które wymaga bezpośredniego kanału dostępu do celu, na przykład złośliwej wiadomości e-mail. HalluSquatting działa bez żadnej bezpośredniej interakcji z ofiarą, opierając się wyłącznie na przewidywalności błędów modeli językowych.
Jak działa atak
Atakujący najpierw analizują popularne repozytoria i narzędzia, do których deweloperzy najczęściej się odwołują, a następnie testują konkretne asystenty AI, by ustalić, jakie nazwy pakietów, repozytoriów czy wtyczek modele najczęściej zmyślają w odpowiedzi na typowe polecenia. Gdy taka fałszywa nazwa zostanie zidentyfikowana, przestępcy rejestrują ją z wyprzedzeniem na platformach takich jak GitHub czy w sklepach z wtyczkami, umieszczając tam złośliwe instrukcje lub ładunki.
Gdy deweloper zleci asystentowi AI zadanie, na przykład sklonowanie repozytorium czy instalację konkretnej umiejętności, model może wygenerować dokładnie tę zmyśloną, ale wcześniej przejętą przez atakującego nazwę. Zatruty kontekst uruchamia następnie tak zwany promptware, umożliwiając zdalne wykonanie kodu i instalację złośliwego oprogramowania bez świadomej zgody użytkownika.
Skala i skuteczność
Badacze odnotowali wyjątkowo wysoką i powtarzalną skuteczność ataku, sięgającą 85 procent w zadaniach związanych z klonowaniem repozytoriów oraz 100 procent w niektórych scenariuszach instalacji wtyczek czy skilli. Co istotne, te same zmyślone nazwy pojawiały się konsekwentnie w różnych modelach językowych i różnych aplikacjach korzystających z tych modeli, co oznacza, że jedna przygotowana pułapka może skutecznie uderzyć w wielu narzędziach jednocześnie.
Zjawisko to badacze określili jako fundamentalną zmianę ekonomiki ataków na łańcuch dostaw oprogramowania, ponieważ pozwala przestępcom pozycjonować złośliwe zasoby dokładnie tam, gdzie systemy AI z dużym prawdopodobieństwem będą ich szukać, zamiast liczyć na przypadkowe pomyłki użytkowników przy ręcznym wpisywaniu nazw pakietów.
Różnica względem wcześniejszych luk
HalluSquatting to odrębna technika od niedawno opisanej luki GhostApproval, która pozwalała agentom AI zapisywać pliki poza wyznaczonym środowiskiem izolowanym poprzez błędy w obsłudze dowiązań symbolicznych. Podczas gdy GhostApproval atakował granice piaskownicy bezpieczeństwa, HalluSquatting uderza w sam proces wyszukiwania i pobierania zasobów zewnętrznych, wykorzystując naturalną tendencję modeli do błędów przy generowaniu nazw.
Lista dotkniętych narzędzi obejmuje zarówno komercyjne produkty dużych firm, jak GitHub Copilot należący do Microsoftu, jak i niezależne asystenty, takie jak Cursor, Windsurf czy Cline, co pokazuje, że problem dotyczy całej kategorii narzędzi, a nie pojedynczego produktu czy dostawcy.
Co powinni zrobić deweloperzy
Zalecane środki zaradcze obejmują wymuszanie na asystentach weryfikacji istnienia i wiarygodności zasobu przed jego pobraniem, walidację nazw pakietów i repozytoriów względem zaufanych rejestrów, wyłączanie automatycznego, bezobsługowego uruchamiania poleceń oraz prewencyjne rezerwowanie przez same platformy nazw, które modele najczęściej zmyślają.
Dla polskich zespołów programistycznych, które coraz szerzej korzystają z agentów kodujących w codziennej pracy, badanie jest sygnałem, by traktować sugestie AI dotyczące zewnętrznych zależności z taką samą podejrzliwością jak linki w nieznanych wiadomościach e-mail. Automatyczne akceptowanie instalacji pakietów proponowanych przez asystenta bez ręcznej weryfikacji źródła staje się realnym wektorem ataku na infrastrukturę firmy.
Źródła: New HalluSquatting Attack Could Trick AI Coding Assistants Into Installing Botnet Malware (thehackernews.com), New HalluSquatting Attack Allows Hackers to Poison AI Coding Assistants Into Installing Botnet Malware (cybersecuritynews.com), 'HalluSquatting' Turns AI Hallucinations Into Botnet Delivery Mechanism (securityweek.com)


