Danny Weber
Tutkijat näyttävät, miten väärät GitHub-linkit voivat saada AI-agentit asentamaan haitallista koodia oikean työkalun sijaan.
Tel Aviv Universityn tutkijat ovat kuvanneet uuden HalluSquatting-hyökkäyksen, joka hyödyntää AI-agenttien hallusinaatioita. Ongelma on siinä, että mallit voivat varmoina keksiä repositoryjen, kirjastojen tai työkalujen nimiä, jos ne eivät tiedä projektin tarkkaa osoitetta. Agenteilla, joille on annettu lupa asentaa ja suorittaa koodia, tällainen virhe voi nopeasti muuttua todelliseksi riskiksi käyttäjän laitteelle.
Hyökkäys nojaa siihen, että tällaiset hallusinaatiot ovat usein ennakoitavia. Kun ilmestyy uusi suosittu repository, jota ei vielä ole mallin koulutusdatassa, botti voi ”arvata” samankaltaisen GitHub-osoitteen: sekoittaa projektin omistajan, toistaa työkalun nimen tekijän nimessä tai tehdä tavallisen kirjoitusvirheen. Hyökkääjä voi rekisteröidä tällaisen nimimuunnelman etukäteen ja sijoittaa sinne haitallista koodia, joka näyttää alkuperäiseltä projektilta.
Kun käyttäjä pyytää AI-agenttia asentamaan tai käynnistämään tarvittavan työkalun, malli voi valita oikean repositoryn sijaan väärennöksen. Agentti lataa ja suorittaa vierasta koodia niillä oikeuksilla, jotka käyttäjä on sille antanut. Seuraukset voivat olla vakavia: datan ja käyttöavainten varkauksia, haittaohjelman asennus tai saastuneen koneen käyttö jatkohyökkäyksissä.
Kirjoittajien mukaan nykyiset mallit erehtyvät erityisen usein uusien projektien kohdalla. Vuoden 2025 trendirepositoryissä keskimääräinen virheaste projektin omistajan tunnistamisessa oli noin 92%, ja joissakin agenttitaitoja koskevissa skenaarioissa se nousi 100%:iin. Ohjelmointityökalut pärjäävät paremmin, mutta tilanne on silti huolestuttava: Cursorissa, Gemini CLI:ssä ja Copilotissa hyökkäyksen onnistumisprosentiksi arvioitiin 20–35%, kun taas OpenClaw ja sen muunnelmat saattoivat lähestyä tasoa 80–100%.
Tutkijoiden tärkein suositus on selvä: AI-agenteille ei pidä antaa laajoja oikeuksia eikä niiden pidä antaa asentaa koodia tarkistamatta lähdettä. Boteille kannattaa sanoa suoraan, että niiden on etsittävä virallinen repository, tarkistettava linkit ja käytettävä lisäkontekstia. Niin kauan kuin monet käyttäjät ajavat mukavuuden vuoksi agentteja, joilla on pääsy tiedostoihin, API-avaimiin ja palvelutileihin, HalluSquatting paljastaa tämän lähestymistavan perustavan heikkouden.
© RusPhotoBank