09.07.2026
Исследователи описали технику, при которой заранее зарегистрированные «выдуманные» имена пакетов и репозиториев позволяют массово заражать машины через ИИ-ассистентов, скачивающих ресурсы автоматически. По оценкам авторов, метод затрагивает девять распространённых инструментов и впервые делает prompt injection масштабируемым без прямого доступа к каждой жертве.
Исследователи из Тель-Авивского университета, Техниона (Technion) и компании Intuit опубликовали работу об атаке, которую они назвали HalluSquatting (от «hallucination squatting» — «сквоттинг на галлюцинациях»). По их данным, техника позволяет использовать популярные ИИ-ассистенты для написания кода как канал доставки вредоносного ПО и потенциально собирать из заражённых машин ботнет — сеть подконтрольных устройств для рассылок, вымогательского ПО и DDoS-атак.
В основе метода лежит известное свойство больших языковых моделей (LLM): они склонны «галлюцинировать», то есть уверенно придумывать несуществующие имена ресурсов — пакетов, репозиториев, дополнений. Авторы предлагают заранее вычислить такие вероятные вымышленные имена, зарегистрировать их первыми и дождаться, пока ассистент по запросу пользователя сам скачает подготовленную злоумышленником «ловушку». Если агент может загрузить внешний ресурс и затем выполнить команды с минимальным контролем со стороны человека, это, по описанию исследователей, открывает путь к удалённому выполнению кода.
По измерениям авторов, при запросе на клонирование популярного репозитория модель указывает неверное расположение примерно в 85% случаев, а при установке «навыков» (skills) доля галлюцинаций достигает 100%. Поскольку такие ошибки предсказуемы и переносятся между разными моделями и приложениями, атака работает без прямого канала к каждой конкретной жертве.
Именно это отличает HalluSquatting от большинства прежних prompt-инъекций. Обычно вредоносные инструкции приходится «проталкивать» (push) в конкретную цель — например, встраивать в отдельное письмо или приглашение в календаре, что ограничивает масштаб. Здесь же речь идёт о «вытягивающей» (pull) схеме: жертвой становится любой, чей ИИ-агент сам обращается к скомпрометированному ресурсу. Авторы называют её первой prompt-инъекцией такого типа, поддающейся массовому масштабированию.
В числе затронутых инструментов исследователи перечисляют девять распространённых ИИ-ассистентов, включая Cursor и Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot и Cline. По сообщениям, работа была передана в рамках ответственного раскрытия разработчикам приложений, поставщикам базовых моделей и сопровождающим соответствующих фреймворков.
Проблема не гипотетическая: ранее в экосистемах уже находили вымышленные пакеты, которые ИИ-инструкции успевали распространить по множеству проектов, а специалисты Palo Alto Networks Unit 42 описывали «phantom squatting» — сотни тысяч незарегистрированных «галлюцинированных» доменов.
Источник: arstechnica.com