HalluSquatting: als een AI-agent de verkeerde repository kiest

HalluSquatting maakt hallucinaties van AI-agenten tot beveiligingsrisico
© RusPhotoBank

Onderzoekers van de Universiteit van Tel Aviv hebben een nieuwe HalluSquatting-aanval beschreven die hallucinaties van AI-agenten misbruikt. Het probleem is dat modellen vol overtuiging namen van repositories, bibliotheken of tools kunnen verzinnen wanneer ze het exacte adres van een project niet kennen. Bij agenten die code mogen installeren en uitvoeren, kan zo’n fout snel een echt risico worden voor het apparaat van de gebruiker.

De aanval draait om de voorspelbaarheid van zulke hallucinaties. Wanneer er een nieuwe populaire repository verschijnt die nog niet in de trainingsdata van het model zit, kan de bot zelf een vergelijkbaar GitHub-adres ‘bedenken’: de eigenaar van het project verwarren, de toolnaam herhalen in de auteursnaam of simpelweg een typefout maken. Een aanvaller registreert vooraf een repository met zo’n naamvariant en plaatst daar schadelijke code die op het originele project lijkt.

Wanneer de gebruiker een AI-agent vraagt de gewenste tool te installeren of te starten, kan het model de nep-repository kiezen in plaats van de echte. De agent downloadt en voert dan code van een ander uit met de rechten die de gebruiker heeft gegeven. De gevolgen kunnen serieus zijn: diefstal van data en toegangssleutels, installatie van malware of gebruik van de besmette machine voor verdere aanvallen.

Volgens de auteurs maken moderne modellen vooral bij nieuwe projecten vaak fouten. Voor trending repositories uit 2025 lag het gemiddelde foutpercentage bij het bepalen van de projecteigenaar rond 92%, en in sommige scenario’s met agentvaardigheden zelfs op 100%. Programmeertools doen het beter, maar blijven zorgwekkend: bij Cursor, Gemini CLI en Copilot werd het succespercentage van de aanval geschat op 20–35%, terwijl OpenClaw en varianten daarvan konden oplopen tot 80–100%.

De belangrijkste aanbeveling van de onderzoekers is duidelijk: geef AI-agenten geen brede rechten en laat ze geen code installeren zonder de bron te controleren. Bots moeten expliciet de opdracht krijgen om de officiële repository te zoeken, links te verifiëren en extra context te gebruiken. Maar zolang veel gebruikers voor het gemak agenten draaien met toegang tot bestanden, API-sleutels en serviceaccounts, laat HalluSquatting een fundamentele zwakte van die aanpak zien.