特拉维夫大学、以色列理工学院及 Intuit 的研究人员在论文《警惕代理僵尸网络:通过通用且可转移的对抗性 HalluSquatting 实现可扩展的非定向 Promptware 攻击》中揭露了一种名为「对抗性幻觉入侵」的新型攻击手法,利用 AI 幻觉现象诱骗 AI 代理下载恶意代码。
HalluSquatting 攻击机制:预测 AI 幻觉资源并提前注册的技术原理
根据研究人员的说明,HalluSquatting 的攻击步骤为:攻击者预测 AI 模型可能生成指向软件仓库和线上资源的虚假链接,提前在这些名称下注册,并在其中植入恶意指令;当 AI 代理之后尝试检索这些幻觉资源时,会将攻击者控制的内容视为合法内容并执行。
此机制类似于传统网络攻击中的「误植域名」——误植域名利用人类打字错误,而 HalluSquatting 针对的是 AI 模型的幻觉错误。随着 AI 助手的功能从回答问题扩展到能够访问文件、搜索网络、编写代码和运行命令,这种威胁的影响范围显著扩大。
测试数据:代码仓库 85% 与技能安装 100%
根据研究人员的测试结果,HalluSquatting 攻击的幻觉发生率如下:
代码仓库克隆场景:AI 幻觉发生率达 85%
技能安装场景:AI 幻觉发生率达 100%
研究团队测试了以下四大 AI 编码助手和代理:
Cursor:受影响
GitHub Copilot:受影响
Gemini CLI:受影响
OpenClaw:受影响
常见问题
什么是 HalluSquatting 攻击,它与传统网络攻击有何不同?
根据研究人员的说明,HalluSquatting 攻击是预测 AI 模型可能产生的虚假资源链接,提前在这些名称下注册并植入恶意指令;与传统「误植域名」的不同在于,后者利用人类打字错误,而 HalluSquatting 针对的是 AI 模型的幻觉错误。研究论文由特拉维夫大学、以色列理工学院和 Intuit 的研究人员共同发表。
哪些 AI 工具受到 HalluSquatting 攻击的影响?
根据研究人员的测试,Cursor、GitHub Copilot、Gemini CLI 和 OpenClaw 等 AI 编码助手均受影响;技能安装场景的幻觉发生率高达 100%,代码仓库克隆场景达 85%。具体的受影响程度和缓解措施以各工具开发商的官方安全公告为准。
HalluSquatting 如何可能导致 AI 僵尸网络的形成?
根据研究人员的说明,若 AI 代理在执行任务时检索到被攻击者控制的恶意资源,并将其视为合法内容执行,攻击者即可通过这些代理远程执行代码,形成由受攻击 AI 代理组成的僵尸网络;僵尸网络可被用于拒绝服务攻击、加密货币挖矿、恶意软件传播和勒索软件攻击。具体攻击场景以研究论文为准。