HalluSquatting : les erreurs des agents IA deviennent une vraie attaque

Danny Weber

Des chercheurs montrent comment de faux liens GitHub peuvent pousser des agents IA à installer du code malveillant au lieu du bon outil.

Des chercheurs de l’université de Tel Aviv ont décrit une nouvelle attaque HalluSquatting, qui exploite les hallucinations des agents IA. Le problème vient du fait que les modèles peuvent inventer avec assurance des noms de dépôts, de bibliothèques ou d’outils lorsqu’ils ne connaissent pas l’adresse exacte d’un projet. Pour les agents autorisés à installer et exécuter du code, cette erreur peut vite devenir un vrai risque pour l’appareil de l’utilisateur.

Le scénario repose sur le caractère prévisible de ces hallucinations. Lorsqu’un nouveau dépôt populaire apparaît et n’est pas encore présent dans les données d’entraînement du modèle, le bot peut « deviner » une adresse GitHub ressemblante : confondre le propriétaire du projet, répéter le nom de l’outil dans celui de l’auteur ou simplement faire une faute de frappe. Un attaquant peut enregistrer à l’avance un dépôt avec ce nom et y placer du code malveillant, en lui donnant l’apparence du projet original.

Quand l’utilisateur demande à un agent IA d’installer ou de lancer l’outil voulu, le modèle peut choisir le faux dépôt au lieu du vrai. L’agent télécharge alors et exécute le code d’un tiers avec les droits que l’utilisateur lui a accordés. Les conséquences peuvent être sérieuses : vol de données et de clés d’accès, installation de malware ou machine compromise utilisée pour de nouvelles attaques.

D’après les auteurs, les modèles modernes se trompent particulièrement souvent avec les nouveaux projets. Pour les dépôts tendance de 2025, le taux moyen d’erreur dans l’identification du propriétaire atteignait environ 92%, et montait jusqu’à 100% dans certains scénarios avec des compétences d’agent. Les outils de programmation font mieux, mais le signal reste inquiétant : dans Cursor, Gemini CLI et Copilot, le taux de réussite de l’attaque était estimé à 20–35%, tandis que OpenClaw et ses variantes pouvaient approcher 80–100%.

La principale recommandation des chercheurs est simple : ne pas donner de droits trop larges aux agents IA et ne pas les laisser installer du code sans vérifier la source. Les bots doivent être explicitement poussés à chercher le dépôt officiel, à vérifier les liens et à utiliser du contexte supplémentaire. Mais tant que de nombreux utilisateurs lancent des agents avec accès aux fichiers, clés API et comptes de service par confort, HalluSquatting expose une faiblesse de fond de cette approche.

© RusPhotoBank