HalluSquatting:AIエージェントが間違ったリポジトリを選ぶとき

HalluSquatting、AIエージェントの誤りをセキュリティリスクに変える
© RusPhotoBank

テルアビブ大学の研究者が、AIエージェントのハルシネーションを悪用する新しい攻撃HalluSquattingを説明した。問題は、モデルがプロジェクトの正確なアドレスを知らない場合でも、リポジトリ、ライブラリ、ツールの名前を自信ありげに作り出せることにある。コードのインストールや実行を許可されたエージェントでは、この種のミスがユーザーのデバイスに対する現実的なリスクへとすぐに変わる。

攻撃の仕組みは、こうしたハルシネーションの予測しやすさを利用する。新しい人気リポジトリが登場し、それがまだモデルの訓練データに含まれていない場合、ボットは似たGitHubアドレスを「推測」することがある。プロジェクトの所有者を取り違えたり、ツール名を作者名に繰り返したり、単純なタイプミスをしたりするのだ。攻撃者はその名前のバリエーションを使ったリポジトリを先に登録し、元のプロジェクトに見える悪意あるコードを置いておく。

ユーザーがAIエージェントに必要なツールのインストールや実行を頼むと、モデルは本物ではなく偽のリポジトリを選ぶ可能性がある。その結果、エージェントはユーザーから与えられた権限で他人のコードをダウンロードして実行する。影響は深刻になり得る。データやアクセスキーの窃取、マルウェアのインストール、感染したマシンを次の攻撃に使うことなどだ。

論文の著者によると、現在のモデルは特に新しいプロジェクトで間違いやすい。2025年のトレンド入りリポジトリでは、プロジェクト所有者の特定における平均エラー率が約92%に達し、エージェントスキルを使う一部のシナリオでは100%に上った。プログラミングツールは比較的ましだが、それでも不安は残る。Cursor、Gemini CLI、Copilotでは攻撃成功率が20〜35%と推定され、OpenClawとその派生では80〜100%に近づく可能性があった。

研究者の主な提言は明確だ。AIエージェントに広い権限を与えず、ソース確認なしにコードをインストールさせないことである。ボットには公式リポジトリを探し、リンクを確認し、追加の文脈を使うよう明示する必要がある。しかし、多くのユーザーが利便性のためにファイル、APIキー、サービスアカウントへアクセスできるエージェントを実行し続ける限り、HalluSquattingはこのアプローチの根本的な弱点を示し続ける。