Вчені з Тель-Авівського університету, Технічного інституту Ізраїлю та Intuit у статті «Обережність щодо агентських мереж-привидів: масштабовані нецільові атаки Promptware через універсальні та переносимі протидіючі HalluSquatting» розкрили новий тип атаки під назвою «протидіючий галюциногенний захват (HalluSquatting)», яка використовує феномен галюцинацій AI для обману агентів штучного інтелекту з метою завантаження шкідливого коду.
Механізм атаки HalluSquatting: технічна основа передбачення ресурсів галюцинацій AI та їх попередньої реєстрації
За словами дослідників, кроки атаки HalluSquatting полягають у тому, що зловмисник передбачає, що модель AI може створити фальшиві посилання на сховища програмного забезпечення та онлайн-ресурси, реєструє їх заздалегідь під цими назвами та вставляє шкідливі команди; коли агент AI намагається отримати ці галюциногенні ресурси, він сприймає їх як легальний контент і виконує.
Цей механізм схожий із традиційною мережею атак «Typosquatting» — використання людських помилок при друку, тоді як HalluSquatting спрямований на галюцинації моделей AI. Оскільки функції помічників AI розширилися від відповідей на запитання до доступу до файлів, пошуку в мережі, написання коду та виконання команд, масштаб потенційної загрози значно зріс.
Тестові дані: 85% сховищ коду та 100% встановлення навичок
За результатами дослідження, рівень галюцинацій при атаках HalluSquatting становить:
Клонування сховищ коду: рівень галюцинацій AI досягає 85%
Встановлення навичок: рівень галюцинацій AI досягає 100%
Команда дослідників протестувала чотири основні допоміжні засоби AI для кодування та агентів:
Cursor: під впливом
GitHub Copilot: під впливом
Gemini CLI: під впливом
OpenClaw: під впливом
Поширені питання
Що таке атака HalluSquatting і чим вона відрізняється від традиційних мережевих атак?
За словами дослідників, HalluSquatting — це передбачення потенційних фальшивих ресурсних посилань AI, їх попередня реєстрація та вставка шкідливих команд; на відміну від традиційного «Typosquatting», яке використовує людські помилки при друку, HalluSquatting спрямований на галюцинації моделей AI. Стаття опублікована спільно Тель-Авівським університетом, Технічним інститутом Ізраїлю та Intuit.
Які інструменти AI піддаються атакам HalluSquatting?
За результатами тестування, під впливом знаходяться допоміжні засоби для кодування AI: Cursor, GitHub Copilot, Gemini CLI та OpenClaw; рівень галюцинацій у сцені встановлення навичок досягає 100%, у сцені клонування сховищ — 85%. Конкретний ступінь впливу та заходи з пом’якшення залежать від офіційних повідомлень безпеки виробників інструментів.
Як HalluSquatting може спричинити формування мережі зомбі AI?
За словами дослідників, якщо агент AI при виконанні завдання отримує шкідливі ресурси, контрольовані зловмисником, і сприймає їх як легальний контент, зловмисник може дистанційно виконувати код через ці агенти, створюючи мережу зомбі з атакованих агентів AI; така мережа може використовуватися для атак відмови в обслуговуванні, майнінгу криптовалют, поширення шкідливого програмного забезпечення та викупних програм. Конкретні сценарії атаки наведені у дослідницькій статті.