К содержанию
Новости

Исследователи описали атаку HalluSquatting на ИИ-агентов через вымышленные репозитории

Исследователи описали атаку HalluSquatting на ИИ-агентов через вымышленные репозитории
Фото: SecurityLab (by Positive Technologies)

Специалисты описали метод HalluSquatting, основанный на предсказуемых ошибках ИИ-моделей в названиях репозиториев и других ресурсов. Как сообщает SecurityLab (by Positive Technologies), злоумышленник может заранее зарегистрировать адрес, который модель регулярно генерирует по ошибке, а затем разместить там вредоносный код или инструкции.

Атака затрагивает Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw, ZeroClaw и NanoClaw. Сценарий выглядит так: пользователь просит ИИ-агента установить нужный компонент, после чего модель подставляет несуществующий адрес, загружает подменённый ресурс и запускает его через встроенный терминал.

Во время лабораторных испытаний модели ошибались при выборе адреса репозитория в 85% случаев. При установке новых навыков показатель доходил до 100%. Авторы работы отдельно подчеркнули, что речь идёт о тестовой демонстрации, а не о подтверждённой вредоносной кампании. Разработчиков приложений и моделей, а также администраторов площадок заранее уведомили о проблеме. Пользователям рекомендовали проверять точные адреса ресурсов перед загрузкой и запуском через ИИ-агентов.

Ключевые факты

  • HalluSquatting затрагивает Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw, ZeroClaw и NanoClaw

  • В тестах модели ошибались при выборе адреса репозитория в 85% случаев

  • При установке новых навыков уровень ошибок в тестах достигал 100%

  • Авторы исследования скрыли детали, которые могли бы упростить повторение атаки