Robocikowo>ROBOCIKOWO
Sztuczna Inteligencja

HalluSquatting: halucynacje LLM jako droga do botnetów

HalluSquatting: halucynacje LLM jako droga do botnetów

Zespół badaczy z Uniwersytetu w Tel Awiwie, Technionu i Intuit opisał w pracy opublikowanej 8 lipca 2026 nowy atak nazwany HalluSquatting. Wykorzystuje on wrodzoną skłonność dużych modeli językowych do halucynowania adresów repozytoriów i pakietów. To pierwszy atak z rodziny prompt injection, który realnie skaluje się do masowego przejmowania urządzeń — z potencjałem budowy botnetów i kampanii ransomware.

Najważniejsze w skrócie

  • HalluSquatting (adversarial hallucination squatting) działa przeciwko agentom i asystentom kodowania: Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw i NanoClaw.
  • Przy klonowaniu popularnego repozytorium LLM halucynuje jego lokalizację nawet w 85% przypadków, a przy trendujących „skillach" — nawet w 100%.
  • Repozytoria sprzed 2019 roku modele rozwiązują błędnie średnio w 0,9% przypadków — dla repozytoriów z 2025 roku wskaźnik halucynacji rośnie do 92,4%.
  • Podatność występuje na poziomie fundamentalnym w sześciu głównych modelach: Gemini-2.5-flash, Gemini-2.5-pro, GPT-5.1, GPT-5.2, Sonnet-4.5 i Opus-4.5.
  • Cel ataku: masowa instalacja reverse shelli, a następnie botnety do DDoS lub kopania kryptowalut oraz kampanie ransomware.

Jak działa atak

Punktem wyjścia jest fakt, że LLM nie potrafi powiedzieć „nie wiem". Gdy deweloper każe agentowi sklonować repozytorium lub zainstalować „skilla" — czyli skrypt lub zasób nadający agentowi wyspecjalizowane zdolności — model zmyśla adres zamiast przyznać, że go nie zna. HalluSquatting wykorzystuje to trzystopniowo:

  1. przewiduje, jakie nieistniejące nazwy model najczęściej zmyśli.
  2. rejestruje te nazwy.
  3. umieszcza w nich instrukcję instalacji reverse shella lub sam złośliwy kod.

Kluczowe jest to, że halucynacje są przewidywalne. Wszystkie sześć badanych modeli podąża za tymi samymi wzorcami przy rozwiązywaniu nazw. Wzorzec, który wykorzystuje HalluSquatting, badacze nazywają „self-referential" — modele tworzą slug w formie nazwa-repo/nazwa-repo, traktując nazwę repozytorium jako jego właściciela. Wykorzystanie tego schematu nie wymaga nawet sondowania modelu — atakujący z góry wie, jakie nazwy zarejestrować.

Efekt jest odwrotny do dotychczasowych ataków. Klasyczne prompt injection były „push" — każdą ofiarę trzeba było zaatakować osobno, np. wstrzykując instrukcję w e-mail. HalluSquatting jest „pull" i skaluje się bez celowania w pojedyncze cele. Agenci kodowania rutynowo pobierają kod z repozytoriów i mają dostęp do terminala z wysokimi uprawnieniami, więc jedno zarejestrowane, zmyślone repozytorium może zainfekować wiele niezależnych instalacji naraz.

Echo typosquattingu, ale groźniejsze

Nazwa nawiązuje do typosquattingu, w którym adres lub pakiet podszywa się pod popularny, licząc na pomyłkę użytkownika. Zjawisko zyskało rozgłos w 2016 roku, gdy student wgrał 214 spreparowanych pakietów do PyPI, RubyGems i NPM — wykonano je ponad 45 tysięcy razy na ponad 17 tysiącach domen, a ponad połowa dostała pełne uprawnienia administracyjne. Różnica polega na tym, że typosquatting liczy na literówkę człowieka, a HalluSquatting na przewidywalny błąd maszyny — co czyni go znacznie bardziej skalowalnym.

Atak budzi już zainteresowanie środowiska.

„To bardzo dobre badanie, a zagrożenie jest jak najbardziej realne" — Michael Bargury, CTO firmy Zenity.

Bargury dodał, że podobnie jak typosquatting problem nie zniknie i trzeba założyć, że agenci zostaną oszukani. Niezależny badacz Johann Rehberger zwrócił uwagę, że sama procedura rozwiązywania nazw przez model staje się tu ścieżką ataku, a napastnik może wcześniej sondować modele, by znaleźć nazwy o najwyższym prawdopodobieństwie halucynacji.

Dlaczego to ważne?

HalluSquatting przenosi problem halucynacji z kategorii „irytujący błąd jakości" do kategorii „wektor ataku o skali internetowej". Dotąd branża traktowała zmyślone odpowiedzi głównie jako kwestię wiarygodności — tu okazują się bezpośrednim zagrożeniem bezpieczeństwa. Najgroźniejsze jest to, że atak nie wymaga łamania modelu ani obchodzenia guardraili — wykorzystuje jego normalne, oczekiwane zachowanie. Rosnący wskaźnik halucynacji dla najnowszych repozytoriów (92,4% dla 2025 roku wobec 0,9% sprzed 2019) oznacza, że im świeższy i popularniejszy zasób, tym większe ryzyko. To uderza w samą obietnicę agentów kodowania: autonomiczne pobieranie i uruchamianie kodu bez nadzoru człowieka staje się właśnie tym, co czyni je podatnymi. Dopóki modele nie nauczą się mówić „nie wiem", odpowiedzialność za weryfikację każdego adresu wraca do użytkownika — co podważa część reklamowanych oszczędności czasu.

Co dalej?

  • Praca badawcza jest już publicznie dostępna — dostawcy agentów (Cursor, GitHub Copilot, Gemini CLI i inni wymienieni) będą musieli wdrożyć weryfikację źródeł zasobów.
  • Atak wykorzystuje zachowanie na poziomie fundamentalnym sześciu głównych modeli — mitygacja wymaga zmian w samej warstwie rozwiązywania nazw, nie tylko w guardrailach aplikacji.
  • Zidentyfikowane ryzyko: kampanie ransomware oraz botnety do DDoS i kopania kryptowalut — realne wykorzystanie w praktyce będzie testem skuteczności obron.

Źródła

Udostępnij ten artykuł