1. Rekonesans: atakujący masowo odpytuje LLM (np. GPT-5.1, Claude, Gemini) prosząc o rekomendacje pakietów, klonowanie repo, instalacje pluginów. Zbiera listę hallucynowanych, nieistniejących nazw. Wskaźnik halucynacji sięga 85% dla klonowania repo i 100% dla instalacji skilli. 2. Weryfikacja transferu: atakujący sprawdza, że te same nazwy halucynują różne modele fundamentalne — jeden squat = wielu asystentów. 3. Squatting: atakujący rejestruje te nazwy w PyPI, npm, GitHubie itd. z złośliwym ładunkiem (skrypt instalacyjny, backdoor, downloader). 4. Pułapka: gdy ktoś prosi asystenta AI o 'popularną bibliotekę do X', asystent halucynuje nazwę pułapki i wywołuje pip install / git clone / plugin install w wbudowanym terminalu. 5. Wykonanie: ładunek uruchamia się z uprawnieniami użytkownika lub agenta. Może zainstalować malware, dodać hosta do botnetu 'agentowego', eksfiltrować dane, ustanowić persistence. 6. Skalowanie: każde niezależne zapytanie użytkownika = niezależne zdarzenie infekcji. Botnet rośnie proporcjonalnie do liczby użytkowników danego asystenta.
HalluSquatting NIE rozwiązuje problemu — jest atakiem. Rozwiązuje jednak problem ATAKUJĄCEGO: jak dostać się do maszyn deweloperów bez znanych podatności, bez lateralnego ruchu i bez bezpośredniego kanału komunikacji z ofiarą. Odpowiedź: pozwól LLM samemu zaprowadzić ofiarę do złośliwego pakietu.
Systematyczne odpytywanie modelu i logowanie zwracanych, nieistniejących nazw pakietów/repo/skilli. Zwykle w skalowanym pipeline z tysiącami wariantów promptu.
Oficjalna
Weryfikacja że te same halucynowane nazwy powtarzają się dla różnych rodzin foundation models (GPT, Claude, Gemini, Llama itd.). Determinuje 'zwrot z inwestycji' w squat.
Oficjalna
Publikacja pakietów/repo pod halucynowanymi nazwami w publicznych rejestrach (PyPI, npm, GitHub, Hugging Face). Ładunek zwykle zawarty w post-install script lub README z instrukcjami do wykonania.
Kod uruchamiany po ściągnięciu przez asystenta: backdoor, downloader dodatkowego malware, kod dołączający hosta do botnetu, skrypty eksfiltracyjne. Może wykorzystywać uprawnienia terminala asystenta.
Oficjalna
Wektor faktycznej infekcji: asystent AI (Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw, Claude Code) uruchamia pobrany pakiet w swoim built-in terminalu jako część normalnego workflow developera.
Deweloper akceptuje 'pip install' lub 'git clone' zasugerowany przez asystenta bez weryfikacji istnienia i reputacji pakietu w oficjalnym rejestrze.
Wbudowany terminal Cursor/Windsurf/OpenClaw domyślnie uruchamia komendy jako bieżący user, z dostępem do sekretów, kluczy SSH, tokenów CI. Kompromitacja = kompromitacja developera.
Bez wewnętrznego rejestru zatwierdzonych pakietów (proxy PyPI, GitHub private registry) asystent może pobrać dowolny publiczny pakiet.
Zmiana modelu (np. GPT-5.1 → Claude) NIE chroni — te same halucynowane nazwy występują u różnych vendorów.
Badacze (m.in. Lasso Security, Vulcan) dokumentują że popularne LLM regularnie wymyślają nieistniejące nazwy pakietów w rekomendacjach kodu. Wczesne prace ostrzegają o możliwym typosquatting-analogicznym ryzyku.
Zespół Tel Aviv University + Technion + Intuit publikuje 10 lipca 2026 pełny framework 'adversarial hallucination squatting'. Wskaźniki halucynacji: 85% (klonowanie repo), 100% (instalacja skilli). Kluczowe odkrycie: transferability między różnymi foundation models. Cel: agentic botnets. Vendorzy powiadomieni przed publikacją, exploit details wstrzymane.
Ile różnych promptów atakujący wysyła by odkryć halucynowane nazwy. Większa liczba → większy 'hallucination corpus' → więcej squatów.
Które publiczne rejestry są celem squatingu (PyPI, npm, GitHub, Hugging Face, VS Code Marketplace, MCP servers). Rozszerzenie zakresu zwiększa powierzchnię ataku.
Kiedy złośliwy kod się aktywuje: post-install script (natychmiast po instalacji), import time (przy pierwszym imporcie), scheduled (opóźniony trigger by uniknąć wykrycia w piaskownicy).
HalluSquatting jest atakiem software'owym na warstwie orkiestracji AI tooli. Nie zależy od konkretnego procesora ani akceleratora.