Дослідники виявили нову атаку ін'єкції підказок під назвою HalluSquatting, яка впливає на дев'ять популярних AI-інструментів кодування, зокрема Cursor, GitHub Copilot та Gemini CLI. Атака використовує нездатність великих мовних моделей розрізняти легітимні та шкідливі інструкції, поєднану з їхньою схильністю до галюцинацій ідентифікаторів ресурсів з репозиторіїв коду. Ця вразливість дозволяє зловмисникам створювати масивні ботнети та здійснювати масштабні DDoS-атаки, реєструючи передбачувані ідентифікатори галюцинацій та засіваючи їх шкідливими інструкціями. Ін'єкція підказок стала головною загрозою в безпеці AI, оскільки LLM за своєю природою не можуть забезпечити межі між довіреними інструкціями користувача та ненадійним стороннім контентом.
HalluSquatting використовує галюцинації ідентифікаторів ресурсів LLM
Скорочено від adversarial hallucination squatting, HalluSquatting працює проти кодових агентів і асистентів, які отримують доступ до командних рядків з високими привілеями для запуску коду зі сторонніх ресурсів. Метод атаки передбачає ідентифікатори, які LLM найімовірніше галюцинують, потім реєструє та засіває їх інструкціями для встановлення зворотних оболонок або іншого шкідливого програмного забезпечення. AI-асистенти та агенти кодування регулярно отримують код та інші ресурси з репозиторіїв і реєстрів у звичайному порядку виконання повсякденних завдань. Не маючи можливості встановити межу між довіреними та ненадійними джерелами, розробники AI-двигунів змушені створювати складні обмежувачі, призначені для зменшення шкоди, а не для усунення першопричини.
Дев'ять AI-інструментів кодування підтверджено вразливими до атаки
Атака діє проти AI-асистентів та агентів кодування, включаючи Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw та NanoClaw. Усі дев'ять інструментів вразливі до методу атаки HalluSquatting. Ці інструменти зазвичай отримують доступ до командних рядків з високими привілеями для виконання коду зі сторонніх репозиторіїв та реєстрів.
Атака відрізняється від попередніх push-ін'єкцій підказок
Попередні ін'єкції підказок належали до класу, відомого як push-атаки, при яких кожна потенційна жертва атакується індивідуально. Наприклад, зловмисники впроваджують шкідливі інструкції в окремі електронні листи або запрошення календаря. Оскільки ін'єкцію потрібно надіслати кожній конкретній цілі, масштаб push-атак обмежений. Pull-атаки, при яких LLM активно шукає ворожі підказки, розміщені на веб-сайтах, залишалися обмеженими без можливості заманити велику кількість LLM на шкідливий сайт. HalluSquatting являє собою pull-атаку, яка може безладно заражати величезну кількість пристроїв, не атакуючи кожен окремо.
Поширені запитання (FAQ)
Що таке HalluSquatting і як він працює?
HalluSquatting — це нова атака ін'єкції підказок, яка використовує схильність великих мовних моделей до галюцинацій ідентифікаторів ресурсів з репозиторіїв коду. Зловмисники передбачають, які ідентифікатори LLM найімовірніше галюцинуватимуть, реєструють ці ідентифікатори та засівають їх шкідливими інструкціями, такими як встановлення зворотних оболонок.
Які AI-інструменти кодування вразливі до атак HalluSquatting?
Дев'ять AI-інструментів кодування вразливі до HalluSquatting: Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw та NanoClaw. Ці інструменти регулярно отримують код і ресурси зі сторонніх репозиторіїв та реєстрів.
Чим HalluSquatting відрізняється від попередніх атак ін'єкції підказок?
Попередні ін'єкції підказок були push-атаками, які вимагали індивідуального націлювання на кожну жертву через електронні листи або запрошення календаря. HalluSquatting — це pull-атака, яка може безладно заражати величезну кількість пристроїв без індивідуального націлювання, оскільки уражені AI-інструменти активно шукають ворожі підказки, розміщені в репозиторіях.