新的HalluSquatting攻击可能会诱使AI编码助手安装僵尸网络恶意软件

admin 2026-07-12 04:39:28 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 新研究揭示hallusquatting攻击利用AI编码助手的幻觉特性,通过注册AI编造的假名植入恶意指令,诱使助手安装僵尸网络软件。攻击链包括识别流行资源、记录AI常编假名、注册假名并隐藏指令、等待用户触发。测试覆盖Cursor、GitHubCopilot等工具。防御建议包括让助手先搜索、不自动运行、平台预注册假名。 综合评分: 85 文章分类: 漏洞分析,威胁情报,ai安全,红队,安全工具


cover_image

新的HalluSquatting攻击可能会诱使AI编码助手安装僵尸网络恶意软件

HackSee安全团队 HackSee安全团队

HackSee安全生活

2026年7月9日 11:46 吉林

在小说阅读器读本章

去阅读

AI编码助理有编造信息的习惯。请你去找一个流行的工具,有时它会给出一个听起来很真实但并不存在的项目名称。

新研究,作者称之为“HalluSquatting”,将这种习惯变成了攻击:先识别AI可靠发明的假名,先注册,然后等待助手代用户取出陷阱。

任何AI助手能获取外部资源并执行命令且几乎没有人工审核的人都会暴露。在测试中,这条路径引导助手在机器上运行攻击者提供的代码。

如果用一个足够受欢迎的资源重复这个方法,一个植入的名字就能覆盖到许多机器,这也是研究人员将其框架为组装僵尸网络的方式的原因。

工作原理

#

攻击链起了两个AI的特性。第一种是幻觉:人工智能编造某物并呈现为真实。第二种是提示注入:一个陷阱指令,劫持人工智能,使其跟随攻击者而非用户。

这里的注入是间接的,依赖于助手获取的内容,而不是用户输入的任何内容。

  1. 选一个目标。

    攻击者发现一个正在流行的仓库或插件,所以很多人会让他们的AI去抓取它。趋势很重要,因为AI的训练数据中没有新资源,而模型正是在这时开始猜测名字。

  2. 学会错误。

    攻击者会反复请求人工智能获取该资源,并记录它最常编造的假名。

  3. 认领假名。

    攻击者会在 GitHub 或插件商店注册该名称,并将对抗性指令隐藏其中。

  4. 等等。

    真实用户会让助手拿取热门资源。助手编造了同样的假名,并拉进了攻击者的版本。它的隐藏指令会融入助手认为自己被指示执行的内容,被劫持的助手则用自己的指令执行工具执行这些指令。

陷阱不是自动运行的代码。之所以有效,是因为这些助手在内置工具中保留了一个终端,一旦植入指令生效,“安装机器人”就成了助手可以完成的操作。

使它实用的是,假名并非随机。在研究人员的实验中,错误是一致的:在不同措辞和不同公司的模型中,助理在多达85%的仓库请求和100%的技能安装中都选择了相同的错误名称。这些是作者报告的峰值发病率;报纸上刊载了完整的分析。

他们对Cursor、Windsurf、GitHub Copilot、Cline、谷歌Gemini CLI以及OpenClaw系列助手等工具进行了运行,每个工具都能运行攻击者代码。测试载荷是无害的占位符,而非真正的恶意软件;活着的也会走同样的路。

这项研究来自特拉维夫大学本·纳西团队的阿雅·斯皮拉及其同事,以及理工学院的斯塔夫·科恩和Intuit的罗恩·比顿。纳西的团队以前也做过类似的事,他们制造了一个自我传播的AI邮件蠕虫和一个日历邀请,劫持了谷歌的双子座。

该团队表示,在公开前已告知受影响的供应商、模型制造商和市场运营商,并保留了复制攻击所需的具体步骤。

为什么这是一种新型的僵尸网络

#

传统的僵尸网络需要付出努力。他们依赖弱密码,或者恶意软件在机器间传播,通常只集中在一种设备上,就像Mirai管理摄像头和路由器一样。

这根本不需要这些。没有密码,没有虫害,而且由于有效载荷是AI读取的文本而非网络漏洞,这不是防火墙需要监控的类型。它落下的机器可以运行任何操作系统,而非统一的舰队。

AI是这里的送货车,不是货物。植入的指令诱使它安装普通机器人,一旦机器人运行,机器就归入普通僵尸网络。新的是实现目标的组合:一个由AI可预测地创造的名字,一个任何人都可以注册该名字的市场,以及一个有权限获取和运行的代理。

这些作品并不新鲜,即使组合是新的。攻击者最初学会注册人工智能发明的假软件包名称,这种手法被称为“抢注”(slopsquatting)。

2026年1月,合气道安全公司的查理·埃里克森发现了一个虚构的npm包——react-codeshift,AI编写的指令已传播到237个代码项目中,代理人员仍在每天尝试安装;他自己在攻击者之前就察觉到了,所以没有造成伤害。

这个想法随后从包裹转向了网页地址。Palo Alto Networks的第42部门最近描述了“幻影抢占”现象,即大约25万个幻觉域名未注册且任人取用(THN的相关报道见此处)。

HalluSquatting 是指通过劫持执行取物的代理,直接进入运行代码的版本。而那些用来筛查不良上传的市场也不是后备方案:六月时,Trail of Bits在不到一小时内就通过了多个商店扫描器,成功通过了恶意“技能”。

该怎么办

#

这一切都建立在一个条件上:一个代理获取外部资源并运行,且无人检查。关上它,攻击就会停止。最有效的解决办法也是最简单的:让助手在取回之前搜索。

真正的查询让客服人员扎根于真实存在的内容,并大幅减少猜测。这属于构建这些工具的人,他们还可以训练规划器(将请求映射到步骤的部分)先查找资源,并将 clone、install 和 fetch 等词视为标志。

用户和安全团队拥有更近的筹码。默认情况下,这些代理在执行命令前会先询问。暴露在于自动运行模式(Claude Code 的跳过权限标志,Gemini CLI 的 yolo 模式),它会关闭它,所以第一条规则是不允许代理在它获取的任意数据上无人值守运行。

现在有些工具增加了安全层,在执行前检查代理读取或即将执行的内容,比如Claude Code的自动模式和Gemini CLI的Consca检查,但这降低了风险,而非消除风险。没有单一交换机能关闭这个,所以在代理拉入之前,还要确认仓库或包名是否已解析到真实、预期的源,并且把AI给出的任何名字当作猜测,而不是事实。

平台有自己的杠杆。他们可以停止让人们在新账户下重复使用知名仓库名称,并预先注册人工智能可能发明的假名(这也是针对打拼抢注的同样辩护),这样这些名字就能指向真正的项目。

研究人员称他们的结果为下界:“发作总会好转;从未变得更糟。”这里没有单一的CVE需要修补。他们把它描述成不是某个产品的漏洞,而是AI智能体信任那些从未被赋予名字的弱点。


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:HackSee安全生活 HackSee安全团队 HackSee安全团队《新的HalluSquatting攻击可能会诱使AI编码助手安装僵尸网络恶意软件》

评论:0   参与:  0