Исследователи в области кибербезопасности обнаружили критическую уязвимость в девяти популярных инструментах на базе ИИ, которая позволяет злоумышленникам создавать масштабные ботнеты через манипуляцию ресурсами. Проблема, получившая название HalluSquatting, эксплуатирует фундаментальную склонность больших языковых моделей (LLM) выдумывать названия репозиториев и идентификаторы пакетов.
Согласно отчету, опубликованному изданием Ars Technica, под угрозой оказались такие известные сервисы, как GitHub Copilot, Gemini CLI, Cursor и Windsurf. Эти ассистенты обладают высоким уровнем автономности, включая доступ к командной строке, что делает их идеальным вектором для скрытой установки вредоносного ПО на устройства разработчиков.
Механика «галлюцинаторного» захвата
В основе атаки лежит неспособность ИИ-моделей точно определять местоположение внешних ресурсов, которые не входили в их обучающую выборку. Когда пользователь просит агента установить новый или «трендовый» пакет, модель с вероятностью до 100% может галлюцинировать путь к нему, предлагая правдоподобный, но несуществующий адрес в реестрах вроде GitHub или PyPI.
Процесс эксплуатации выглядит следующим образом:
- Злоумышленник анализирует популярные запросы к ИИ и прогнозирует, какие именно имена владельцев или названия репозиториев модель склонна выдумывать.
- Хакер регистрирует эти «галлюцинированные» имена в реальных сервисах хранения кода.
- В созданный репозиторий загружается вредоносный скрипт, например, для установки reverse shell (обратной оболочки), дающей полный контроль над системой.
- ИИ-агент, следуя запросу пользователя, самостоятельно скачивает и исполняет код из подконтрольного злоумышленнику источника.
Интересно, что современные модели демонстрируют удивительную точность (ошибка менее 1%) при работе со старыми данными, но их надежность падает до критических 8% при попытке обращения к ресурсам, появившимся в 2025 году. Это создает идеальное окно возможностей для атак на «горячие» новинки индустрии.
Масштабируемость и последствия
В отличие от классических методов, где жертву нужно заманить на фишинговый сайт, HalluSquatting заставляет сам ИИ искать вредоносный контент. Исследователи из Университета Тель-Авива и Technion отмечают, что такая схема позволяет автоматизировать создание ботнетов для DDoS-атак или скрытого майнинга криптовалют без индивидуального таргетинга каждой цели.
Доверие к ИИ-агентам сегодня напоминает ранние годы интернета: мы даем им права администратора, забывая о базовой гигиене. Пока разработчики LLM пытаются строить хрупкие фильтры поверх фундаментально неверных предсказаний, единственным барьером остается ручная проверка каждого импорта. Ирония в том, что автоматизация, призванная ускорить работу, теперь требует от нас вдвое больше внимания к деталям, превращая удобство в потенциальную точку отказа всей инфраструктуры.
Проблема усугубляется тем, что ИИ-инструменты часто используют самореференциальные паттерны. Например, если модель не знает владельца библиотеки, она часто предполагает, что имя владельца совпадает с названием самого репозитория. Хакеру достаточно занять этот пустующий слот, чтобы начать перехватывать трафик от тысяч ничего не подозревающих агентов.
Эксперты подчеркивают, что HalluSquatting — это не просто ошибка программирования, а системный риск «агентности» ИИ. Пока модели не научатся признавать свое незнание вместо генерации уверенных, но ложных путей, использование автономных помощников в среде разработки будет сопряжено с риском потери контроля над локальной машиной или сервером компании.
Оставить комментарий