Исследователи описали атаку HalluSquatting на ИИ-агентов через вымышленные репозитории

Специалисты описали метод HalluSquatting, основанный на предсказуемых ошибках ИИ-моделей в названиях репозиториев и других ресурсов. Как сообщает SecurityLab (by Positive Technologies), злоумышленник может заранее зарегистрировать адрес, который модель регулярно генерирует по ошибке, а затем разместить там вредоносный код или инструкции.
Атака затрагивает Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw, ZeroClaw и NanoClaw. Сценарий выглядит так: пользователь просит ИИ-агента установить нужный компонент, после чего модель подставляет несуществующий адрес, загружает подменённый ресурс и запускает его через встроенный терминал.
Во время лабораторных испытаний модели ошибались при выборе адреса репозитория в 85% случаев. При установке новых навыков показатель доходил до 100%. Авторы работы отдельно подчеркнули, что речь идёт о тестовой демонстрации, а не о подтверждённой вредоносной кампании. Разработчиков приложений и моделей, а также администраторов площадок заранее уведомили о проблеме. Пользователям рекомендовали проверять точные адреса ресурсов перед загрузкой и запуском через ИИ-агентов.
Ключевые факты
HalluSquatting затрагивает Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw, ZeroClaw и NanoClaw
В тестах модели ошибались при выборе адреса репозитория в 85% случаев
При установке новых навыков уровень ошибок в тестах достигал 100%
Авторы исследования скрыли детали, которые могли бы упростить повторение атаки