AI仓库调用漏洞HalluSquatting披露,攻击成功率约80-100%
速览
研究人员揭示新型AI漏洞HalluSquatting,利用模型在调用工具时的幻觉生成不存在或错误的仓库地址。攻击者可通过指令诱导AI访问恶意仓库并执行代码,导致数据窃取、挖矿等危害。量化显示近期仓库幻觉率高达92.4%,2019年前仅为0.9%。Claude等代码智能体受攻击成功率在20%-35%之间,部分变体接近80-100%。
AI 深度解读
背景
随着大语言模型(LLM)被广泛集成到代码智能体、AI 编程助手和自动化工作流中,模型不仅需要理解自然语言指令,还要频繁调用外部工具、访问代码仓库或执行脚本。然而,AI 的“幻觉”现象——即生成不准确或看似合理但实际错误的信息——在工具调用场景下可能被恶意利用。研究人员发现,攻击者可以利用模型对未知或新近发布代码仓库名称的幻觉,诱导智能体访问并执行恶意代码仓库,从而实施远程控制、数据窃取或加密货币挖矿等攻击。这种攻击方式被命名为 HalluSquatting。
核心内容
HalluSquatting 是一种新型 AI 漏洞,核心在于利用 LLM 在调用工具时的“幻觉”特性,将不存在或错误的代码仓库地址当作真实地址使用。该研究由特拉维夫大学、以色列理工学院以及 Intuit 的研究人员共同完成。
当智能体 AI(如 Claude、Cursor、Gemini CLI、GitHub Copilot 等)收到涉及某个项目、仓库或工具名称的指令时,如果该名称在训练数据中未被覆盖或较新,模型可能自行补全出看似合理但实际错误的地址。例如,一个真实的新仓库地址为 OriginalOwner/WindowsTelemetryOff,但模型可能生成 SuperHacker/WindowsTelemetryOff、WindowsTelemetryOff/WindowsTelemetryOff 或带有拼写误差的近似地址。攻击者可以预先注册这些被幻觉出的仓库名,并放入恶意代码,当智能体通过网页搜索或直接推断访问这些仓库并执行其中的代码时,用户设备即被入侵。
研究特别指出,即使模型在收到指令后主动执行网页搜索以验证仓库真实性,仍可能被误导,访问到恶意版本并运行其中代码。一旦恶意代码被执行,可能导致反向 shell、数据与密码窃取、软件安装、加密货币挖矿,或继续控制智能体执行后续操作。
量化结果方面,模型对近期(2025 年发布)的代码仓库位置的幻觉率最高可达 85%,对热门智能体技能(如特定工具调用指令)的幻觉率可达 100%。对不同年份的仓库名称,2025 年发布的样本 GitHub 仓库名称,模型平均幻觉率为 92.4%;而 2019 年或更早发布的仓库,地址错误率仅为 0.9%。在应用层攻击成功率方面,不同工具表现分化:Cursor、Gemini CLI 和 GitHub Copilot 的成功率为 20%–35%,而 OpenClaw 及其变体接近 80%–100%。
关键要点
- HalluSquatting 是一种利用 AI 模型在工具调用时产生幻觉的新型攻击方式,由特拉维夫大学、以色列理工学院和 Intuit 联合披露。
- 攻击者通过预注册被模型幻觉出的仓库名称,诱导智能体访问并执行恶意代码。
- 模型对近期(2025 年)发布的仓库名称幻觉率最高达 85%,对热门智能体技能幻觉率可达 100%。
- 早期(2019 年及以前)发布的仓库地址错误率极低(0.9%),说明训练数据的时间覆盖是影响幻觉的重要因素。
- 不同工具面对 HalluSquatting 攻击的脆弱性不同:Cursor、Gemini CLI、Copilot 的成功率在 20%–35% 之间,而 OpenClaw 及其变体接近 80%–100%。
- 攻击后果包括反向 shell、数据与密码窃取、软件安装、加密货币挖矿以及智能体后续操作被控制。
意义与影响
HalluSquatting 的发现揭示了 AI 安全领域的一个新攻击面:当模型被赋予工具调用能力时,其固有的幻觉特性可能被系统性地利用。这不同于传统的提示注入或数据投毒,而是针对模型在推理阶段的“补全”行为。随着 AI 智能体在 DevOps、CI/CD 流水线、代码自动补全和自动化运维中越来越普及,此类漏洞的潜在影响不容忽视。
对开发者而言,依赖 AI 智能体执行代码库访问或脚本运行操作时,需要加入额外的验证机制(如手动确认仓库地址、限制智能体对 GitHub 等外部仓库的自动访问权限)。对模型提供商而言,需要改进训练数据的时间覆盖,减少对较新仓库名称的幻觉,同时在智能体层面增加对仓库地址的校验逻辑。对于安全社区,HalluSquatting 也提示了更广泛的攻击研究:如何防止模型在调用外部工具时生成恶意但看似合理的参数。
总体而言,这一研究强调了 AI 安全不仅需要关注输入层(提示注入)和输出层(内容安全),还需要关注模型在行动(工具调用)中的可靠性。HalluSquatting 可能成为 AI 应用安全评估中的一个标准测试项。
