Danny Weber
Badacze pokazują, jak fałszywe linki GitHub mogą skłonić agentów AI do instalacji złośliwego kodu zamiast prawdziwego narzędzia.
Badacze z Uniwersytetu Telawiwskiego opisali nowy atak HalluSquatting, który wykorzystuje halucynacje agentów AI. Problem polega na tym, że modele potrafią z dużą pewnością wymyślać nazwy repozytoriów, bibliotek lub narzędzi, gdy nie znają dokładnego adresu projektu. W przypadku agentów, którym wolno instalować i uruchamiać kod, taki błąd szybko zmienia się w realne ryzyko dla urządzenia użytkownika.
Schemat ataku opiera się na przewidywalności takich halucynacji. Gdy pojawia się nowe popularne repozytorium, którego nie ma jeszcze w danych treningowych modelu, bot może sam „dopowiedzieć” podobny adres GitHub: pomylić właściciela projektu, powtórzyć nazwę narzędzia w nazwie autora albo po prostu zrobić literówkę. Napastnik wcześniej rejestruje repozytorium z takim wariantem nazwy i umieszcza tam złośliwy kod, wyglądający jak oryginalny projekt.
Gdy użytkownik prosi agenta AI o instalację lub uruchomienie potrzebnego narzędzia, model może wybrać fałszywe repozytorium zamiast prawdziwego. Agent sam pobiera i wykonuje cudzy kod z uprawnieniami, które dostał od użytkownika. Skutki mogą być poważne: kradzież danych i kluczy dostępowych, instalacja malware’u albo wykorzystanie zainfekowanej maszyny do kolejnych ataków.
Według autorów pracy nowoczesne modele szczególnie często mylą się przy nowych projektach. W przypadku trendujących repozytoriów z 2025 roku średni poziom błędów przy ustalaniu właściciela projektu sięgał około 92%, a w niektórych scenariuszach z umiejętnościami agentów dochodził do 100%. Narzędzia programistyczne wypadają lepiej, ale nadal niepokojąco: w Cursor, Gemini CLI i Copilot skuteczność ataku oceniono na 20–35%, a w OpenClaw i jego wariantach mogła zbliżać się do 80–100%.
Główna rekomendacja badaczy jest prosta: nie nadawać agentom AI szerokich uprawnień i nie pozwalać im instalować kodu bez sprawdzenia źródła. Botom warto jasno wskazywać, że mają szukać oficjalnego repozytorium, weryfikować linki i korzystać z dodatkowego kontekstu. Dopóki jednak wielu użytkowników dla wygody uruchamia agentów z dostępem do plików, kluczy API i kont serwisowych, HalluSquatting pokazuje podstawową słabość takiego podejścia.
© RusPhotoBank