Forskare vid Tel Aviv University har beskrivit en ny HalluSquatting-attack som utnyttjar hallucinationer hos AI-agenter. Problemet är att modeller med stor självsäkerhet kan hitta på namn på repositoryn, bibliotek eller verktyg när de inte känner till den exakta adressen till ett projekt. För agenter som får installera och köra kod kan ett sådant fel snabbt bli en verklig risk för användarens enhet.
Attacken bygger på att sådana hallucinationer ofta är förutsägbara. När ett nytt populärt repository dyker upp och ännu inte finns i modellens träningsdata kan boten ”gissa” en liknande GitHub-adress: blanda ihop projektägaren, upprepa verktygets namn i författarnamnet eller bara göra ett stavfel. En angripare kan registrera ett repository med just den varianten i förväg och lägga in skadlig kod som ser ut som originalprojektet.
När användaren ber en AI-agent installera eller starta det önskade verktyget kan modellen välja det falska repositoryt i stället för det riktiga. Agenten laddar då själv ner och kör någon annans kod med de behörigheter som användaren har gett den. Följderna kan bli allvarliga: stulna data och åtkomstnycklar, installerad malware eller en infekterad dator som används i fler attacker.
Enligt författarna gör moderna modeller särskilt ofta fel med nya projekt. För trendande repositoryn från 2025 låg den genomsnittliga felfrekvensen vid identifiering av projektägaren på ungefär 92%, och i vissa scenarier med agentfärdigheter nådde den 100%. Programmeringsverktyg klarar sig bättre, men siffrorna är ändå oroande: i Cursor, Gemini CLI och Copilot uppskattades attackens träffsäkerhet till 20–35%, medan OpenClaw och dess varianter kunde närma sig 80–100%.
Forskarnas viktigaste råd är tydligt: ge inte AI-agenter breda rättigheter och låt dem inte installera kod utan att källan kontrolleras. Botar bör uttryckligen instrueras att leta efter det officiella repositoryt, verifiera länkar och använda extra kontext. Men så länge många användare av bekvämlighet kör agenter med tillgång till filer, API-nycklar och tjänstekonton visar HalluSquatting en grundläggande svaghet i den modellen.