特拉維夫大學、以色列理工學院及 Intuit 的研究人員在論文《警惕代理殭屍網路:透過通用且可轉移的對抗性 HalluSquatting 實現可擴展的非定向 Promptware 攻擊》中揭露了一種名為「對抗性幻覺入侵(HalluSquatting)」的新型攻擊手法,利用 AI 幻覺現象誘騙 AI 代理下載惡意代碼。
HalluSquatting 攻擊機制:預測 AI 幻覺資源並提前註冊的技術原理
根據研究人員的說明,HalluSquatting 的攻擊步驟為:攻擊者預測 AI 模型可能生成指向軟體倉庫和線上資源的虛假鏈接,提前在這些名稱下註冊,並在其中植入惡意指令;當 AI 代理之後嘗試檢索這些幻覺資源時,會將攻擊者控制的內容視為合法內容並執行。
此機制類似於傳統網絡攻擊中的「誤植域名(Typosquatting)」——誤植域名利用人類打字錯誤,而 HalluSquatting 針對的是 AI 模型的幻覺錯誤。隨著 AI 助手的功能從回答問題擴展到能夠訪問文件、搜尋網絡、編寫代碼和運行命令,這種威脅的影響範圍顯著擴大。
測試數據:代碼倉庫 85% 與技能安裝 100%
根據研究人員的測試結果,HalluSquatting 攻擊的幻覺發生率如下:
代碼倉庫克隆場景:AI 幻覺發生率達 85%
技能安裝場景:AI 幻覺發生率達 100%
研究團隊測試了以下四大 AI 編碼助手和代理:
Cursor:受影響
GitHub Copilot:受影響
Gemini CLI:受影響
OpenClaw:受影響
常見問題
什麼是 HalluSquatting 攻擊,它與傳統網絡攻擊有何不同?
根據研究人員的說明,HalluSquatting 攻擊是預測 AI 模型可能產生的虛假資源鏈接,提前在這些名稱下註冊並植入惡意指令;與傳統「誤植域名(Typosquatting)」的不同在於,後者利用人類打字錯誤,而 HalluSquatting 針對的是 AI 模型的幻覺錯誤。研究論文由特拉維夫大學、以色列理工學院和 Intuit 的研究人員共同發表。
哪些 AI 工具受到 HalluSquatting 攻擊的影響?
根據研究人員的測試,Cursor、GitHub Copilot、Gemini CLI 和 OpenClaw 等 AI 編碼助手均受影響;技能安裝場景的幻覺發生率高達 100%,代碼倉庫克隆場景達 85%。具體的受影響程度和緩解措施以各工具開發商的官方安全公告為準。
HalluSquatting 如何可能導致 AI 殭屍網絡的形成?
根據研究人員的說明,若 AI 代理在執行任務時檢索到被攻擊者控制的惡意資源,並將其視為合法內容執行,攻擊者即可透過這些代理遠端執行代碼,形成由受攻擊 AI 代理組成的殭屍網絡;殭屍網絡可被用於拒絕服務攻擊、加密貨幣挖礦、惡意軟體傳播和勒索軟體攻擊。具體攻擊場景以研究論文為準。