以色列特拉維夫大學研究員Ben Nassi率隊,聯合以色列理工學院(Technion)與Intuit的研究人員,於7月10日發表一項名為「HalluSquatting」的新型攻擊研究,指出攻擊者可利用AI編碼助理反覆虛構同一套件或儲存庫名稱的特性,搶先註冊該名稱並植入惡意內容,等待AI代理程式自動抓取安裝,藉此組建殭屍網路。受測工具包含Cursor、Windsurf、GitHub Copilot、Cline、Google Gemini CLI及OpenClaw系列助理,研究團隊已在公開發表前通知相關廠商,未揭露完整攻擊步驟。
攻擊機制:幻覺加上提示詞注入
HalluSquatting的攻擊鏈結合兩項AI弱點。其一是幻覺(hallucination),AI憑空生成一個看似合理的名稱並當作真實存在;其二是間接提示詞注入,惡意指令藏在AI代理程式自外部擷取的內容中,而非使用者直接輸入。攻擊者會先鎖定熱門儲存庫或外掛工具,反覆詢問AI取得方式並記錄最常被虛構的名稱,接著在GitHub或外掛市集搶先註冊,上傳含惡意指令的版本。當使用者要求AI助理取得該資源,助理可能再度產生相同錯誤名稱並拉取攻擊者版本,隱藏指令隨即接管助理的終端機權限。
研究人員測試發現,幻覺名稱在不同模型與不同措辭下高度一致:儲存庫請求情境的重複率達85%,外掛安裝情境更達100%,且幻覺名稱可跨模型、跨廠商轉移,大幅擴大攻擊範圍。
與傳統殭屍網路的差異
傳統殭屍網路多依賴弱密碼、蠕蟲擴散或特定裝置漏洞,HalluSquatting則不需要這些條件,酬載以AI可讀取的文字形式送達,難以被防火牆偵測,且能跨越不同作業系統平台。
今年1月,Aikido Security研究員Charlie Eriksen發現一個被AI反覆虛構的npm套件react-codeshift,已流入237個GitHub專案,他搶先註冊避免遭惡意利用,並將此現象命名為「套件幻覺搶註」(slopsquatting)。Palo Alto Networks旗下Unit 42近期也發現約25萬個AI幻想出的網域尚未被註冊,稱為「幻象網域搶註」(phantom squatting)。資安業者Trail of Bits則於6月指出,惡意「技能」(skill)可在一小時內通過多個市集的掃描工具。HalluSquatting的不同之處在於,它能直接劫持代理程式的行動並達成程式碼執行。
廠商尚未正式回應
研究團隊表示,已在論文公開前通知受影響廠商與外掛程式營運者,並建議代理程式在擷取外部資源前先執行搜尋比對,而非直接信任AI生成的名稱。截至目前,尚未有廠商就此研究發布正式修補公告,建議讀者持續留意各廠商後續公告。
隨著AI編碼助理在台灣企業開發流程中日益普及,這類攻擊路徑值得本地資安與IT主管留意。多數團隊仍傾向開啟自動安裝、自動執行等高自主權模式以提升效率,但這正是HalluSquatting式攻擊的可乘之機。
企業在正式環境避免讓代理程式跳過人工確認即執行外部指令,並將AI建議的套件或儲存庫來源納入既有軟體供應鏈管控流程審核,而非視為既定事實。
資安防護建議:
- 工具開發者應於擷取資源前先行真實查證,並將clone、install、fetch等指令列為必須驗證的觸發旗標。
- 使用者與資安團隊應避免讓代理程式在無人監督下自動執行外部內容,留意跳過確認機制的自動化模式,如Claude Code的skip-permissions旗標或Gemini CLI的yolo模式。
- 拉取套件或儲存庫前,應先驗證名稱確實對應真實來源,將AI提供的名稱視為推測而非事實。
本文轉載自 TheHackerNews。