Apa yang terjadi
Peneliti dari Tel Aviv University, Technion, dan Intuit mempublikasikan 'Beware of Agentic Botnets,' memperkenalkan adversarial hallucination squatting: penyerang memprediksi nama paket/repo/skill yang tidak ada paling mungkin di-hallucinate oleh LLM ketika diminta mengambil sumber daya trending, secara proaktif mendaftarkan nama-nama tersebut dengan payload berbahaya, dan menunggu agen coding AI mengambil dan menjalankannya secara otomatis. Teknik ini mencapai tingkat hallucination hingga 85% (repo yang ada) dan 92,4% (repo/skill pasca-cutoff) dan terbukti mencapai eksekusi tool jarak jauh dan RCE terhadap Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw, ZeroClaw, dan NanoClaw.
Mengapa penting
Tidak seperti prompt injection sebelumnya yang memerlukan saluran push yang dikendalikan penyerang (email, undangan kalender) yang membatasi skala, ini adalah serangan berbasis pull, tanpa interaksi, tanpa target — satu paket berbahaya yang ditanam dapat diambil secara otomatis oleh agen developer mana pun yang memiliki kemampuan fetch-and-execute file otonomi, tanpa memerlukan klik phishing, entri kredensial, atau penipuan pengguna. Ini mempengaruhi hampir setiap asisten coding AI utama secara bersamaan karena pola hallucination (terutama penamaan pemilik/repo self-referential) konsisten di GPT-5.1/5.2, Claude Sonnet-4.5/Opus-4.5, dan Gemini-2.5, menjadikannya kerusakan arsitektur lintas vendor yang struktural daripada bug vendor tunggal.
Vektor serangan
Penyerang mendaftarkan nama paket/repo/skill yang di-hallucinate diprediksi melalui analisis distribusi hallucination LLM pada platform populer (GitHub dll.), menyematkan skrip install/eksekusi berbahaya; agen coding AI secara otomatis mengambil dan menjalankan sumber daya yang terkena racun ketika developer memintanya untuk men-clone atau memasang sumber daya trending.
Sistem yang terdampak
Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw, ZeroClaw, NanoClaw (agen coding AI dengan akses tool fetch/execute otonomi)
Mitigasi
Nonaktifkan mode eksekusi otonomi/auto-approve untuk pengambilan kode yang tidak terpercaya; implementasikan allowlisting paket/repo terhadap registry otoritatif; verifikasi dependensi yang disarankan AI secara manual sebelum install; tidak ada patch tunggal yang tersedia — vendor diberitahu pra-disclosure