Danny Weber
Forskere viser hvordan falske GitHub-lenker kan få AI-agenter til å installere skadelig kode i stedet for riktig verktøy.
Forskere ved Tel Aviv University har beskrevet et nytt HalluSquatting-angrep som utnytter hallusinasjoner hos AI-agenter. Problemet er at modeller selvsikkert kan finne på navn på repositoryer, biblioteker eller verktøy når de ikke kjenner den nøyaktige adressen til et prosjekt. For agenter som får installere og kjøre kode, kan en slik feil raskt bli en reell risiko for brukerens enhet.
Angrepet bygger på at slike hallusinasjoner ofte er forutsigbare. Når et nytt populært repository dukker opp og ennå ikke finnes i modellens treningsdata, kan boten «gjette» en lignende GitHub-adresse: forveksle prosjekteieren, gjenta verktøynavnet i forfatternavnet eller bare gjøre en skrivefeil. En angriper kan registrere et repository med den varianten på forhånd og legge inn skadelig kode som ser ut som originalprosjektet.
Når brukeren ber en AI-agent installere eller starte det ønskede verktøyet, kan modellen velge det falske repositoryet i stedet for det ekte. Agenten laster da ned og kjører andres kode med rettighetene brukeren har gitt den. Konsekvensene kan være alvorlige: tyveri av data og tilgangsnøkler, installasjon av malware eller bruk av en infisert maskin i videre angrep.
Ifølge forfatterne gjør moderne modeller særlig ofte feil med nye prosjekter. For trendende repositoryer fra 2025 lå den gjennomsnittlige feilraten ved identifisering av prosjekteieren på rundt 92%, og i enkelte scenarier med agentferdigheter på opptil 100%. Programmeringsverktøy klarer seg bedre, men bildet er fortsatt urovekkende: i Cursor, Gemini CLI og Copilot ble angrepets suksessrate anslått til 20–35%, mens OpenClaw og variantene kunne nærme seg 80–100%.
Forskernes viktigste råd er enkelt: ikke gi AI-agenter brede rettigheter, og ikke la dem installere kode uten å kontrollere kilden. Boter bør få tydelig beskjed om å finne det offisielle repositoryet, verifisere lenker og bruke ekstra kontekst. Men så lenge mange brukere av bekvemmelighet kjører agenter med tilgang til filer, API-nøkler og tjenestekontoer, viser HalluSquatting en grunnleggende svakhet i denne tilnærmingen.
© RusPhotoBank