HalluSquatting: când un agent AI alege repository-ul greșit

Danny Weber

Cercetătorii arată cum linkurile GitHub false pot face agenții AI să instaleze cod malițios în locul instrumentului real.

Cercetătorii de la Universitatea din Tel Aviv au descris un nou atac HalluSquatting, care exploatează halucinațiile agenților AI. Problema este că modelele pot inventa cu multă siguranță nume de repository-uri, biblioteci sau instrumente atunci când nu cunosc adresa exactă a unui proiect. Pentru agenții care au voie să instaleze și să ruleze cod, o astfel de eroare poate deveni rapid un risc real pentru dispozitivul utilizatorului.

Schema atacului se bazează pe caracterul previzibil al acestor halucinații. Când apare un repository nou și popular, care nu se află încă în datele de antrenare ale modelului, botul poate „ghici” o adresă GitHub asemănătoare: poate confunda proprietarul proiectului, poate repeta numele instrumentului în numele autorului sau poate face pur și simplu o greșeală de tastare. Atacatorul înregistrează din timp un repository cu acea variantă de nume și pune acolo cod malițios, cu aspect de proiect original.

Când utilizatorul îi cere unui agent AI să instaleze sau să pornească instrumentul dorit, modelul poate alege repository-ul fals în locul celui real. Agentul descarcă și rulează apoi cod străin cu drepturile pe care i le-a acordat utilizatorul. Consecințele pot fi serioase: furt de date și chei de acces, instalarea de malware sau folosirea mașinii infectate pentru atacuri ulterioare.

Potrivit autorilor lucrării, modelele moderne greșesc deosebit de des în cazul proiectelor noi. Pentru repository-urile în trend din 2025, rata medie de eroare la identificarea proprietarului proiectului a ajuns la aproximativ 92%, iar în unele scenarii cu abilități de agent la 100%. Instrumentele de programare stau mai bine, dar situația rămâne îngrijorătoare: în Cursor, Gemini CLI și Copilot, succesul atacului a fost estimat la 20–35%, în timp ce OpenClaw și variantele sale se puteau apropia de 80–100%.

Recomandarea principală a cercetătorilor este clară: nu oferiți agenților AI drepturi largi și nu îi lăsați să instaleze cod fără verificarea sursei. Boturile ar trebui instruite explicit să caute repository-ul oficial, să verifice linkurile și să folosească context suplimentar. Dar cât timp mulți utilizatori rulează din comoditate agenți cu acces la fișiere, chei API și conturi de serviciu, HalluSquatting arată o slăbiciune fundamentală a acestei abordări.

© RusPhotoBank