研究人員發現一種名為 HalluSquatting 的新型提示注入攻擊,影響包括 Cursor、GitHub Copilot 和 Gemini CLI 在內的九款熱門 AI 編碼工具。該攻擊利用大型語言模型無法區分合法與惡意指令的弱點,並結合其傾向於從程式碼儲存庫中幻覺資源識別碼的特性。此漏洞使攻擊者能夠透過註冊預測的幻覺識別碼並注入惡意指令,來組建大規模傀儡網路並執行大規模 DDoS 攻擊。提示注入已成為 AI 安全領域的首要威脅,而 LLM 本質上無法在可信的使用者指令與不可信的第三方內容之間強制執行界限。
HalluSquatting 利用 LLM 對資源識別碼的幻覺
HalluSquatting 是「對抗性幻覺搶註」的簡稱,其攻擊對象是那些存取高權限命令列以執行來自第三方資源程式碼的編碼代理與助手。該攻擊方法會預測 LLM 最可能幻覺的識別碼,然後註冊這些識別碼,並在其中注入安裝反向 shell 或其他惡意軟體的指令。AI 編碼助手與代理在日常運作中經常從儲存庫與註冊表中拉取程式碼及其他資源。由於無法在可信與不可信來源之間強制執行界限,AI 引擎開發者只能建立複雜的護欄來減輕損害,而非解決根本原因。
九款 AI 編碼工具確認易受攻擊
此攻擊對包括 Cursor、Cursor CLI、Gemini CLI、Windsurf、GitHub Copilot、Cline、OpenClaw、ZeroClaw 和 NanoClaw 在內的 AI 編碼助手與代理有效。這九款工具皆容易受到 HalluSquatting 攻擊方法的影響。這些工具通常會存取高權限命令列,以執行來自第三方儲存庫與註冊表的程式碼。
此攻擊有別於先前的推送式提示注入
先前的提示注入屬於一類稱為「推送攻擊」的攻擊方式,每個潛在受害者都會被個別鎖定。例如,攻擊者會將惡意指令注入個別電子郵件或日曆邀請中。由於注入必須發送給每個特定目標,推送式攻擊的規模有限。而「拉取式攻擊」中,LLM 會主動尋找植於網站上的對抗性提示,但此類攻擊始終受限,無法吸引大量 LLM 前往惡意網站。HalluSquatting 則是一種拉取式攻擊,能夠不加區分地感染大量裝置,無需逐一鎖定每個目標。
常見問題
什麼是 HalluSquatting?它如何運作?
HalluSquatting 是一種新型提示注入攻擊,利用大型語言模型從程式碼儲存庫中幻覺資源識別碼的傾向。攻擊者會預測 LLM 最可能幻覺的識別碼,註冊這些識別碼,並在其中注入惡意指令(例如安裝反向 shell)。
哪些 AI 編碼工具容易遭受 HalluSquatting 攻擊?
九款 AI 編碼工具容易受到 HalluSquatting 攻擊:Cursor、Cursor CLI、Gemini CLI、Windsurf、GitHub Copilot、Cline、OpenClaw、ZeroClaw 和 NanoClaw。這些工具會定期從第三方儲存庫與註冊表拉取程式碼及資源。
HalluSquatting 與先前的提示注入攻擊有何不同?
先前的提示注入屬於推送式攻擊,需要透過電子郵件或日曆邀請個別鎖定每個受害者。HalluSquatting 則是一種拉取式攻擊,能夠不加區分地感染大量裝置,無需個別鎖定目標,因為受影響的 AI 工具會主動尋找植於儲存庫中的對抗性提示。