Nowości

Atak HalluSquatting zamienia halucynacje AI w botnety z agentów kodujących

ProgramowaniePatryk Raba

Posłuchaj tego artykułu

Spis treści
  1. Jak działa pułapka
  2. Skala halucynacji zaskakuje
  3. Dziewięć narzędzi na celowniku
  4. Botnet bez hasła i bez robaka
  5. Co to oznacza dla programistów

Badacze z Uniwersytetu Tel Awiwskiego, Technionu i firmy Intuit opisali nową technikę ataku na agentów kodujących AI, nazwaną HalluSquatting. Wykorzystuje ona zjawisko, które do tej pory uchodziło za nieszkodliwą wadę modeli językowych, czyli halucynowanie nieistniejących nazw repozytoriów i pakietów, i zamienia je w gotową broń do budowy botnetu.

Mechanizm ataku jest zaskakująco prosty i nie wymaga żadnego włamania do systemu ofiary. Napastnik najpierw sprawdza, jakie nazwy repozytoriów lub pakietów model najczęściej zmyśla przy typowych poleceniach, na przykład sklonuj popularny projekt X albo zainstaluj umiejętność Y. Następnie rejestruje te zmyślone nazwy jako prawdziwe konta na GitHubie lub w rejestrach pakietów i umieszcza w nich złośliwy ładunek.

Jak działa pułapka

Gdy programista poprosi agenta AI o pobranie trendującego repozytorium, model z dużym prawdopodobieństwem wskaże nie prawdziwy adres, tylko ten zmyślony, wcześniej przejęty przez atakującego. Agent, mając dostęp do terminala, sam pobiera i uruchamia kod, traktując go jak zwykłe, zaufane zadanie. W ten sposób złośliwy ładunek trafia na maszynę programisty bez żadnego hasła, phishingu czy exploitu sieciowego.

Badacze nazywają to pierwszym atakiem typu pull, czyli inicjowanym przez samą ofiarę, który jednocześnie skaluje się na dużą liczbę użytkowników. Ponieważ treść ataku dociera jako zwykły tekst czytany przez model, a nie jako klasyczny atak sieciowy, tradycyjne firewalle i systemy detekcji go nie widzą.

Skala halucynacji zaskakuje

Zespół zmierzył, jak często modele wymyślają nieistniejące zasoby w zależności od ich wieku i popularności. Dla starych, dobrze znanych repozytoriów sprzed 2019 roku błąd wystąpił w mniej niż jednym procencie przypadków. Dla nowszych, głośnych projektów z 2025 roku wskaźnik halucynacji skoczył do ponad 92 procent, a przy pytaniu o popularne, trendujące umiejętności sięgnął 100 procent.

To odwraca intuicję wielu programistów, którzy zakładają, że model myli się rzadziej przy znanych, głośnych projektach. W praktyce jest odwrotnie, im nowszy i bardziej medialny temat, tym większa szansa, że agent poda zmyślony adres, bo w danych treningowych brakuje jeszcze wystarczająco dużo prawdziwych odniesień.

Skalowalność tego ataku pozwala napastnikowi skompromitować dużą liczbę użytkowników minimalnym wysiłkiem, wystarczy uderzyć w popularne zasoby - Aya Spira, Uniwersytet Tel Awiwski

Dziewięć narzędzi na celowniku

Lista dotkniętych produktów obejmuje zarówno popularne edytory z wbudowanym AI, jak Cursor i Windsurf, jak i narzędzia wiersza poleceń, takie jak Cursor CLI i Gemini CLI, oraz asystentów zintegrowanych z chmurą, jak GitHub Copilot czy Cline. Badacze przetestowali także mniej znane agenty, OpenClaw, ZeroClaw i NanoClaw, uzyskując podobne wyniki niezależnie od dostawcy modelu bazowego.

Zjawisko okazało się spójne między różnymi modelami fundamentowymi i różnymi sformułowaniami polecenia, co oznacza, że nie da się go po prostu obejść zmianą dostawcy AI. Skoro większość testowanych narzędzi ma dostęp do terminala jako jedno z podstawowych narzędzi agenta, każde z nich może teoretycznie posłużyć do zdalnego uruchomienia kodu na komputerze ofiary.

Botnet bez hasła i bez robaka

Autorzy podkreślają, że zainfekowane w ten sposób maszyny nie muszą mieć wspólnego systemu operacyjnego ani łączyć się przez typowe luki sieciowe, co odróżnia ten botnet od klasycznych, opartych na słabych hasłach czy ruchu bocznym w sieci. Zebrane w ten sposób komputery programistów mogłyby posłużyć do kopania kryptowalut, ataków DDoS albo skoordynowanych kampanii ransomware.

Zespół celowo używał w testach nieszkodliwych ładunków zamiast prawdziwego złośliwego oprogramowania i zredagował część szczegółów technicznych, żeby publikacja nie stała się gotową instrukcją dla przestępców. Wyniki trafiły najpierw do producentów narzędzi, dostawców modeli i administratorów rejestrów pakietów, zanim badanie ujrzało światło dzienne.

Co to oznacza dla programistów

Dla polskich zespołów programistycznych, które coraz częściej korzystają z agentów kodujących w codziennej pracy, badanie jest kolejnym sygnałem, że automatyczne wykonywanie poleceń przez AI wymaga dodatkowej warstwy kontroli. Rekomendowane przez badaczy środki to wymóg weryfikacji wydawcy pakietu, trzymanie się z góry ustalonych, przypiętych list zaufanych zasobów oraz wymuszenie potwierdzenia przez człowieka przed instalacją czegokolwiek przez agenta.

Publikacja wpisuje się w rosnącą serię badań pokazujących, że narzędzia agentowe do programowania stały się nową powierzchnią ataku, obok wcześniej opisywanych luk w mechanizmach zatwierdzania poleceń i fałszywych zgłoszeń błędów wykorzystywanych do przejmowania agentów. W odróżnieniu od tamtych przypadków HalluSquatting nie wymaga żadnej interakcji socjotechnicznej z ofiarą, wystarczy, że programista poprosi agenta o rutynowe zadanie.

Źródła: The Hacker News (thehackernews.com), AI Chat Daily (aichatdaily.com), strona badawcza Agentic Botnets (sites.google.com/view/agentic-botnets)

Udostępnij: