新型 HalluSquatting 攻击可诱骗 AI 编程助手安装僵尸网络恶意软件

新型 HalluSquatting 攻击可诱骗 AI 编程助手安装僵尸网络恶意软件

导语:研究人员披露了一种名为 HalluSquatting 的新型攻击手法,通过将 AI 的“幻觉”弱点与间接提示注入相结合,可诱骗 AI 编程助手安装攻击者预设的僵尸网络客户端,跨厂商测试成功率最高达 100%。

AI 编程助手有一个众所周知的习惯:凭空编造内容。当用户请求获取一个流行工具时,助手有时会返回一个听起来非常真实的项目名称,但实际上该项目根本不存在。

研究人员将这一新攻击技术命名为 HalluSquatting。其核心思路是:找出 AI 模型反复“幻觉”出的那些不存在的名称,抢先在软件包市场或代码仓库中注册这些名称,然后等待 AI 助手代替用户去获取它们。一旦被植入的指令触发,助手就会下载并执行攻击者预设的代码,从而在受害者的机器上为所欲为。任何允许 AI 助手获取外部资源、并在几乎无需人工审核的情况下执行命令的用户,都暴露在这种风险之下。在测试中,这条路径最终导致助手在用户机器上运行了攻击者提供的代码。

这种攻击方式之所以具有规模化潜力,是因为相关的 AI 助手会把指令转化为实际的安装命令,例如“install a bot”(安装一个机器人程序)就直接落在助手内置工具的终端上,从而顺理成章地执行。攻击链将两个 AI 已知弱点串联起来:第一个是“幻觉”(hallucination),即 AI 凭空捏造并将其当作真实内容呈现;第二个是“提示注入”(prompt injection),即一段被精心构造的指令劫持 AI,使之执行攻击者的意图而非用户意图。本案例中采用的是间接提示注入——恶意指令藏身在助手从外部获取的内容里,而不是用户直接输入的提示中。

让这种攻击变得切实可行的是:AI 助手幻觉出的名称并非随机。在研究人员的实验中,这类错误具有高度一致性——无论措辞如何变化、无论测试的是哪家公司的大模型,助手在最多 85% 的代码仓库请求以及 100% 的 skill 安装请求中都会指向同一个错误的名称。这正是研究作者所报告的峰值比例,具体细分数据可见其论文。

研究人员对包括 Cursor、Windsurf、GitHub Copilot、Cline、Google Gemini CLI 以及 OpenClaw 系列助手在内的多款工具进行了实测,均成功让它们执行了攻击者提供的代码。需要说明的是,测试所用的载荷是无害的占位符,而非真实的恶意软件;但真实的恶意载荷完全可以走完全相同的路径。

这项研究来自特拉维夫大学(Tel Aviv University) Ben Nassi 课题组的 Aya Spira 及同事们,合作者还包括 Technion 的 Stav Cohen 和 Intuit 的 Ron Bitton。Ben Nassi 课题组此前已有先例:他们曾构建过一个可自我传播的 AI 邮件蠕虫,以及一个能够劫持 Google Gemini 的日历邀请攻击。

原文配图

研究团队表示,他们在公开披露前已通知相关厂商、模型提供方以及软件市场运营方,并且暂未公布足以复现该攻击的具体步骤。

与传统僵尸网络的构建方式相比,这一手法显得格外轻巧。传统僵尸网络通常依赖弱口令、会蠕虫式扩散的恶意软件,且往往针对某一类设备进行批量感染——例如 Mirai 僵尸网络曾大规模感染摄像头与路由器。而 HalluSquatting 无需口令、无需蠕虫传播,而且由于载荷是以 AI 可读取的文本形式到达的,而非通过网络漏洞利用实现,防火墙对此类流量通常缺乏有效检测。它还可以触达运行任意操作系统的机器,而不是某一种同质化的设备群体。

在这个过程中,AI 更像是投递卡车,而非货物本身。被植入的指令诱使 AI 安装一个普通的 bot 程序,一旦该 bot 开始运行,机器就如同任何其他被攻陷的主机一样,被纳入僵尸网络的控制之下。真正新颖之处在于其组合方式:一个 AI 会反复幻觉出的名称、一个任何人都可注册该名称的市场,以及一个拥有获取并执行权限的智能体(agent)。

构成这一攻击的各个组件本身并不全新,组合方式却是首创。攻击者最早学会注册 AI 幻觉出的虚假软件包名称,这种手法被称为“slopsquatting”。2026 年 1 月,Aikido Security 的 Charlie Eriksen 发现了一个名为 react-codeshift 的、由 AI 生成代码指令传播至 237 个代码项目中的虚假 npm 包,至今仍有智能体每天尝试安装它;Eriksen 亲自注册了该包名以抢在攻击者之前,使其未造成实际危害。随后,这一思路从软件包延伸到了网址。Palo Alto Networks 的 Unit 42 团队近期披露了“phantom squatting”,指出现有约 250,000 个被幻觉出来但尚未注册、可被随意抢注的域名(THN 此前相关报道见 https://thehackernews.com )。

HalluSquatting 则是这一思路的最终演化版本:它通过劫持执行获取操作的智能体,一路直达代码执行环节。而本应筛查恶意上传的软件市场并未提供有效防线:2026 年 6 月,Trail of Bits 在不到一小时内将含有恶意代码的“skill”成功投放到多家商店的扫描器之下。


来源信息

来源:The Hacker News

原文链接:https://thehackernews.com/2026/07/new-hallusquatting-attack-could-trick.html

作者:info@thehackernews.com (The Hacker News)