文章总结: 一种名为hallusquatting的新型攻击技术利用大型语言模型产生的幻觉来秘密入侵系统。攻击者预测LLM可能生成的虚假资源名称并预先注册恶意资源,当AI编码助手执行克隆或安装任务时,会无意中访问这些资源,导致远程代码执行并可能创建僵尸网络。研究表明在代码克隆场景中幻觉发生率高达85%,技能安装场景达100%。该攻击已在GitHubCopilot、Cursor等工具上成功演示。缓解措施包括验证外部资源标识符、降低自主执行权限和改进LLM接地机制。 综合评分: 85 文章分类: ai安全,漏洞分析,红队,渗透测试,恶意软件
HalluSquatting攻击使黑客能够将AI编码助手变成僵尸网络安装程序
原创
网络安全9527 网络安全9527
安全圈的那点事儿
2026年7月9日 19:28 北京
在小说阅读器读本章
去阅读
一种名为“HalluSquatting”的新型攻击技术引发了人工智能安全领域的严重担忧。该技术展示了攻击者如何利用大型语言模型(LLM)产生的幻觉来秘密入侵系统,并有可能大规模创建僵尸网络。
该研究引入了“对抗性幻觉占位”,这是一种新方法,它利用人工智能模型在智能人工智能应用程序(包括编码助手和命令行工具)执行自动化任务期间生成不正确或不存在的资源标识符(例如存储库名称或软件包)。
与依赖直接交互(例如电子邮件或即时通讯)的传统提示注入攻击不同,HalluSquatting 攻击无需直接访问目标系统即可运行。攻击者会预测 LLM 可能生成的虚假资源名称。
通过预先注册这些资源,例如恶意 Git 仓库或技能包,他们设置了一个陷阱,人工智能系统在执行用户请求时可能会在不知情的情况下访问这些资源。这使得原本无害的人工智能驱动操作,例如克隆仓库或安装工具,变成了远程代码执行 (RCE) 的潜在途径。
该研究表明,在代码库克隆场景中,幻觉发生率可高达 85%,而在技能安装工作流程中,幻觉发生率甚至可达 100%。这凸显了多个基于 LLM 的平台普遍存在的系统性缺陷。
Google Sites 的研究人员成功演示了针对广泛使用的工具(包括 GitHub Copilot、Cursor、Windsurf、Gemini CLI 和其他自主 AI 代理)的攻击。
在这些场景中,一旦获取了虚构的资源,嵌入式对抗提示就可以操纵人工智能的执行流程,最终触发未经授权的命令或在主机系统上安装恶意载荷。
该攻击遵循一个结构化的流程,从侦察开始,攻击者分析热门存储库或工具,并查询 LLM 以识别可能的幻觉输出。
这些预测的标识符随后会被注册并植入隐藏指令,从而被武器化。当用户之后指示人工智能助手(例如安装或克隆资源)时,LLM(层级逻辑模型)可能会生成攻击者控制的标识符。
该代理程序检索恶意资源,将其集成到自身上下文中,并执行嵌入的指令,从而有效地将系统变成僵尸网络的一部分。
这种方法类似于域名抢注,但它是在人工智能认知层面而非用户输入层面运作的,因此更难被检测。不同模型之间生成的虚假输出具有可迁移性,这进一步加剧了风险,使攻击者能够以最小的努力在各种平台上扩展其攻击活动。
研究人员强调负责任地披露信息,通知受影响的供应商,并删除敏感的实施细节以防止滥用。
他们还在实验过程中实施了安全措施,以限制意外利用。作者承认其研究结果具有双重用途,但他们认为,揭示这类漏洞对于开发强大的防御措施至关重要。
缓解策略包括更严格地验证外部资源标识符、降低自主执行权限以及改进LLM接地机制以最大程度地减少幻觉。随着智能体人工智能的加速应用,HalluSquatting事件凸显了安全控制的迫切需求,这些控制不仅要关注用户输入,还要关注人工智能系统自身的概率行为。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全圈的那点事儿 网络安全9527 网络安全9527《HalluSquatting攻击使黑客能够将AI编码助手变成僵尸网络安装程序》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论