К содержанию
Новости

Исследователи описали атаку HalluSquatting на ИИ-агентов через вымышленные репозитории

Исследователи описали атаку HalluSquatting на ИИ-агентов через вымышленные репозитории
Фото: Tom's Hardware

Исследователи из Tel Aviv University, Technion и Intuit описали схему атаки HalluSquatting, основанную на склонности ИИ-моделей придумывать несуществующие адреса репозиториев и инструментов. Как сообщает Tom's Hardware, злоумышленники могут создавать вредоносные GitHub-репозитории с названиями, которые LLM с высокой вероятностью «додумают» при выполнении команд, связанных с недавно появившимися библиотеками или проектами.

Суть механизма в том, что модели хуже ориентируются в новых репозиториях, которых не было в обучающих данных. Исследователи приводят пример: вместо настоящего адреса бот генерирует похожие комбинации owner/repository или варианты с опечатками, а затем загружает и выполняет код из вредоносной копии. По данным авторов работы, модели ошибаются с адресами свежих GitHub-репозиториев в среднем в 92,4% случаев. Для популярных agentic skills этот показатель достигал 100%.

Авторы исследования считают, что проблема затрагивает все протестированные модели, включая Claude Opus 4.5. В приложениях для программирования результаты отличались. Для Cursor, Gemini CLI и Copilot успешность атак составляла 20–35%, а для OpenClaw и его вариантов доходила почти до 80–100%. Исследователи также отмечают, что атаку не нужно адаптировать под конкретного бота, она переносится между разными системами.

Ключевые факты

  • Исследователи оценили частоту галлюцинаций адресов GitHub-репозиториев для проектов 2025 года в среднем в 92,4%

  • Для репозиториев 2019 года и старше модели ошибались с URL примерно в 0,9% случаев

  • Уровень успешности атак для Cursor, Gemini CLI и Copilot составил 20–35%

  • Для OpenClaw и его вариантов успешность атак доходила почти до 80–100%