Новости Нейросеть придумала ссылку, а хакеры уже ждут, пока вы по ней перейдёте. Разбор атаки HalluSquatting

NewsMaker

I'm just a script
Премиум
28,231
46
8 Ноя 2022
Обычная «галлюцинация» оказалась слишком удобной для чужого замысла.

<div class="articl-text-cover" style="position:relative;width:100%;max-width:800px;margin-left:auto;margin-right:auto;aspect-ratio:800/450;margin-bottom:2rem;overflow:hidden">
2clb986h0d1rvwzfxu7a2iyhbwnofdg3.jpg

Ошибки ИИ обычно выглядят как безобидные выдумки, но предсказуемые галлюцинации в названиях репозиториев позволили специалистам показать, как девять популярных ИИ-инструментов могут загрузить подконтрольный ресурс и выполнить чужие команды. Новый метод получил название HalluSquatting и затрагивает Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw, ZeroClaw и NanoClaw.

Атака начинается с популярного нового репозитория или навыка для ИИ-агента. Злоумышленник выясняет, какой неверный адрес модель генерирует чаще всего, заранее регистрирует такой ресурс и помещает внутрь вредоносные инструкции или код. Когда пользователь просит агента установить нужный компонент, модель может придумать адрес, скачать подмену и запустить её через встроенный терминал.

В тестах модели ошибались при выборе адреса репозитория в 85% случаев, а при установке новых навыков показатель доходил до 100%. Галлюцинации повторялись у разных моделей и сохранялись на уровне приложений, поэтому один зарегистрированный ресурс мог подходить сразу для нескольких инструментов.

Специалисты продемонстрировали удалённый запуск инструментов и кода, однако работа описывает лабораторные испытания, а не подтверждённую вредоносную кампанию. При реальной атаке заражённые устройства можно было бы объединить в ботнет для DDoS-атак или майнинга криптовалют, но такие последствия в работе рассматривались как возможный сценарий.

Авторы заранее сообщили о проблеме разработчикам приложений и моделей, а также администраторам площадок и скрыли детали, которые упростили бы повторение атаки. Для снижения риска пользователям рекомендуют проверять точный адрес каждого репозитория и другого ресурса до загрузки и запуска через ИИ-агента.
 
Источник новости
www.securitylab.ru

Похожие темы