HalluSquatting: जब AI एजेंट गलत repository चुन लेता है

HalluSquatting AI एजेंट की गलती को सुरक्षा खतरे में बदल देता है
© RusPhotoBank

Tel Aviv University के शोधकर्ताओं ने एक नए HalluSquatting हमले का वर्णन किया है, जो AI एजेंटों की hallucinations का फायदा उठाता है। समस्या यह है कि जब मॉडल किसी प्रोजेक्ट का सही पता नहीं जानते, तो वे भरोसे के साथ repository, library या tool के नाम गढ़ सकते हैं। जिन एजेंटों को code install और run करने की अनुमति होती है, उनके लिए ऐसी गलती उपयोगकर्ता के डिवाइस पर असली खतरा बन सकती है।

इस हमले की योजना ऐसी hallucinations की अनुमानित प्रकृति पर टिकी है। जब कोई नया लोकप्रिय repository सामने आता है और वह अभी मॉडल के training data में नहीं होता, तो bot मिलता-जुलता GitHub address “guess” कर सकता है: project owner को गलत समझना, tool का नाम author name में दोहराना या बस typo कर देना। attacker पहले से इसी तरह के नाम वाला repository register कर लेता है और उसमें ऐसा malicious code डालता है, जो बाहर से original project जैसा दिखता है।

जब उपयोगकर्ता AI agent से जरूरी tool install या run करने को कहता है, तो model असली repository की जगह नकली वाला चुन सकता है। फिर agent उपयोगकर्ता से मिले permissions के साथ किसी और का code download और execute करता है। नतीजे गंभीर हो सकते हैं: data और access keys की चोरी, malware installation या infected machine का आगे के attacks में इस्तेमाल।

लेखकों के मुताबिक, modern models नए projects के साथ खास तौर पर ज्यादा गलतियां करते हैं। 2025 के trending repositories में project owner की पहचान करते समय average error rate लगभग 92% तक पहुंचा, और कुछ agent skill scenarios में यह 100% तक गया। programming tools की स्थिति बेहतर है, लेकिन चिंता बनी रहती है: Cursor, Gemini CLI और Copilot में attack success rate 20–35% आंका गया, जबकि OpenClaw और उसके variants 80–100% के करीब पहुंच सकते थे।

शोधकर्ताओं की मुख्य सलाह साफ है: AI agents को broad permissions न दें और source verify किए बिना code install करने की अनुमति न दें। bots को साफ निर्देश देने चाहिए कि वे official repository खोजें, links verify करें और extra context इस्तेमाल करें। लेकिन जब तक कई users सुविधा के लिए agents को files, API keys और service accounts तक access देकर चलाते रहेंगे, HalluSquatting इस approach की बुनियादी कमजोरी दिखाता रहेगा।