HalluSquatting: amikor az AI-ügynök rossz repositoryt választ

Danny Weber

Kutatók bemutatták, hogyan vehetik rá hamis GitHub-linkek az AI-ügynököket rosszindulatú kód telepítésére.

A Tel Aviv-i Egyetem kutatói egy új HalluSquatting-támadást írtak le, amely az AI-ügynökök hallucinációit használja ki. A gond az, hogy a modellek magabiztosan képesek kitalálni repositoryk, könyvtárak vagy eszközök nevét, ha nem ismerik egy projekt pontos címét. Azoknál az ügynököknél, amelyek kódot telepíthetnek és futtathatnak, egy ilyen hiba gyorsan valódi kockázattá válhat a felhasználó eszközén.

A támadás lényege az ilyen hallucinációk kiszámíthatósága. Amikor megjelenik egy új, népszerű repository, amely még nincs benne a modell tanítóadataiban, a bot „kitalálhat” egy hasonló GitHub-címet: összekeverheti a projekt tulajdonosát, megismételheti az eszköz nevét a szerző nevében, vagy egyszerűen elgépelheti azt. A támadó előre regisztrál egy repositoryt ezzel a névváltozattal, és rosszindulatú kódot helyez el benne, amely kívülről az eredeti projektre hasonlít.

Amikor a felhasználó megkéri az AI-ügynököt, hogy telepítse vagy indítsa el a szükséges eszközt, a modell a valódi repository helyett a hamisat választhatja. Az ügynök ilyenkor letölti és futtatja más kódját azokkal a jogosultságokkal, amelyeket a felhasználó adott neki. A következmények súlyosak lehetnek: adatok és hozzáférési kulcsok ellopása, malware telepítése vagy a fertőzött gép felhasználása további támadásokhoz.

A szerzők szerint a modern modellek különösen gyakran hibáznak új projektek esetén. A 2025-ös trending repositoryknál a projekttulajdonos azonosításának átlagos hibaaránya nagyjából 92% volt, bizonyos agentikus skill-szcenáriókban pedig elérte a 100%-ot. A programozói eszközök jobban teljesítenek, de így is aggasztóak: a Cursor, Gemini CLI és Copilot esetében a támadás sikerességét 20–35%-ra becsülték, míg az OpenClaw és változatai megközelíthették a 80–100%-ot.

A kutatók fő tanácsa egyértelmű: nem szabad széles jogosultságokat adni az AI-ügynököknek, és nem szabad engedni, hogy forrásellenőrzés nélkül telepítsenek kódot. A botokat kifejezetten arra kell utasítani, hogy keressék meg a hivatalos repositoryt, ellenőrizzék a linkeket, és használjanak további kontextust. Amíg azonban sok felhasználó kényelmi okból fájlokhoz, API-kulcsokhoz és szolgáltatásfiókokhoz hozzáférő ügynököket futtat, a HalluSquatting ennek a megközelítésnek az alapvető gyengeségét mutatja meg.

© RusPhotoBank