Исследователи описали атаку HalluSquatting на ИИ-агентов через вымышленные репозитории

Исследователи из Tel Aviv University, Technion и Intuit описали схему атаки HalluSquatting, основанную на склонности ИИ-моделей придумывать несуществующие адреса репозиториев и инструментов. Как сообщает Tom's Hardware, злоумышленники могут создавать вредоносные GitHub-репозитории с названиями, которые LLM с высокой вероятностью «додумают» при выполнении команд, связанных с недавно появившимися библиотеками или проектами.
Суть механизма в том, что модели хуже ориентируются в новых репозиториях, которых не было в обучающих данных. Исследователи приводят пример: вместо настоящего адреса бот генерирует похожие комбинации owner/repository или варианты с опечатками, а затем загружает и выполняет код из вредоносной копии. По данным авторов работы, модели ошибаются с адресами свежих GitHub-репозиториев в среднем в 92,4% случаев. Для популярных agentic skills этот показатель достигал 100%.
Авторы исследования считают, что проблема затрагивает все протестированные модели, включая Claude Opus 4.5. В приложениях для программирования результаты отличались. Для Cursor, Gemini CLI и Copilot успешность атак составляла 20–35%, а для OpenClaw и его вариантов доходила почти до 80–100%. Исследователи также отмечают, что атаку не нужно адаптировать под конкретного бота, она переносится между разными системами.
Ключевые факты
Исследователи оценили частоту галлюцинаций адресов GitHub-репозиториев для проектов 2025 года в среднем в 92,4%
Для репозиториев 2019 года и старше модели ошибались с URL примерно в 0,9% случаев
Уровень успешности атак для Cursor, Gemini CLI и Copilot составил 20–35%
Для OpenClaw и его вариантов успешность атак доходила почти до 80–100%