研究者たちがAIの幻覚を悪用したHalluSquatting攻撃を公開

テルアビブ大学、テクニオン、インテュイットの研究者たちは、AI生成の幻覚を悪用してAIエージェントを侵害するサイバー攻撃手法「Adversarial HalluSquatting(敵対的幻覚スクワッティング)」を提案した。この攻撃は、存在しないリソースをAIモデルが生成しそうな名前を予測して登録し、その名前に有害なコードを埋め込むことで、AIシステムを騙し、偽のソフトウェアリポジトリやツールを信頼させる仕組みだ。AIアシスタントがファイルアクセスやウェブ検索、コード作成、コマンド実行などの能力を持つようになるにつれ、未検証の情報に基づいて行動することでセキュリティの脆弱性が生じている。

研究者たちがAI幻覚を狙った攻撃メカニズムを実証

「Beware of Agentic Botnets: Scalable Untargeted Promptware Attacks via Universal and Transferable Adversarial HalluSquatting(エージェンティックボットネットに注意:ユニバーサルかつ転送可能な敵対的幻覚スクワッティングによるスケーラブルな未ターゲット型Promptware攻撃)」という論文では、攻撃がAIモデルによる偽のリンクやオンラインリソースの生成を悪用していることを詳述している。研究者たちは、エージェント型LLMアプリケーションの普及に伴い、「promptware(プロンプトウェア)」という脅威が出現したと指摘した。攻撃手法は、AIモデルが生成しそうな偽のリソース名を予測し、それを登録して有害な指示を追加し、後にAIエージェントがそれを正規のコンテンツと誤認識させることにある。

この手法は、正規のウェブサイトやソフトウェアパッケージに似たドメイン名を登録するタイポスクワッティングに似ている。HalluSquattingは、人間のタイピングミスではなく、AIモデルの誤りを狙った攻撃だと研究者は述べている。継続的な研究により、ChatGPTやGoogleアシスタント、Copilotなどの実システムに対してさまざまなpromptware攻撃のバリエーションが確認されており、金銭的・プライバシー・安全性に関わる影響が生じている。

テストでAIコーディングアシスタントの幻覚発生率が高いことを確認

研究チームは、リポジトリのクローンやスキルのインストール時に、AI生成のリソース幻覚が最大85%、100%の確率で発生することを発見した。Cursor、GitHub Copilot、Gemini CLI、OpenClawなどのAIコーディングアシスタントやエージェントに対してこの手法を評価した結果、制御された実験でリモートコード実行につながる可能性が示された。

攻撃によりAI搭載ボットネットの構築が可能に

研究者たちは、この技術を悪用すれば、攻撃者がAI対応のボットネットを構築できると警告している。ボットネットとは、感染したコンピュータやデバイスのネットワークで、攻撃者が遠隔操作するものであり、サイバー攻撃やDDoS攻撃、仮想通貨マイニング、マルウェア配布、ランサムウェア攻撃などに利用される。エージェントが情報源の真偽を確認せずに行動することで、セキュリティの脆弱性が生じる。

関連AIセキュリティ研究:プロンプトインジェクション攻撃

4月、Googleの研究者たちは、間接的なプロンプトインジェクション攻撃を通じてAIエージェントを乗っ取る悪意あるウェブサイトを詳細に解説した。これには、パスワード盗難やファイル削除、支払い操作の改ざんなどが含まれる。別の研究では、CopyPasta攻撃において、開発者ファイル内に隠されたプロンプトがAIコーディングアシスタントを操作し、悪意のあるコードを拡散させる手口が示された。6月には、OpenClawのユーザーが、攻撃者からの6,000回以上の試行により、AIエージェントから機密情報を漏洩させるトリックを仕掛けられたと報告している。

FAQ

敵対的幻覚スクワッティングとは何で、どのように機能するのか?
敵対的幻覚スクワッティングは、テルアビブ大学、テクニオン、インテュイットの研究者たちが提案したサイバー攻撃手法で、AI生成の幻覚を悪用する。攻撃は、AIモデルが生成しそうな偽のリソースを予測し、それを登録して有害な指示を追加し、後にエージェントが幻覚リソースを取得した際に正規のコンテンツと誤認させる。

どのAIシステムがHalluSquattingの脆弱性を持つと評価されたか?
Cursor、GitHub Copilot、Gemini CLI、OpenClawなどのAIコーディングアシスタントとエージェントに対して評価され、リポジトリのクローンでは最大85%、スキルインストールでは100%の幻覚発生率が確認された。制御実験ではリモートコード実行も示された。

研究者たちが記録した他のAIセキュリティ攻撃には何があるか?
4月にGoogleの研究者が、パスワード盗難やファイル削除、支払い操作の改ざんを狙った間接的なプロンプトインジェクション攻撃を詳細に解説した。CopyPasta攻撃では、隠されたプロンプトがAIコーディングアシスタントを操作し、悪意のあるコードを拡散させる手口が示された。6月には、OpenClawのユーザーが、攻撃者からの6,000回以上の試行により、AIから機密情報を漏洩させるトリックを受けたと報告している。

免責事項:本ページの情報には第三者提供の内容が含まれる場合があり、参考目的のみで提供されています。これらはGateの見解や意見を示すものではなく、金融、投資、または法律上の助言を構成するものでもありません。暗号資産取引には高いリスクが伴います。意思決定を行う際には、本ページの情報のみに依存しないでください。詳細については、免責事項をご確認ください。
コメント
0/400
コメントなし