何が起きたか
テルアビブ大学、テクニオン、Intuit の研究者が「Beware of Agentic Botnets」を公開し、敵対的ハルシネーション スクワッティングを紹介しました。攻撃者は、LLM がトレンド リソースを取得するよう求められたときにハルシネートする可能性が最も高い存在しないパッケージ/リポジトリ/スキル名を予測し、それらの名前を悪意のあるペイロードで先制的に登録し、AI コーディング エージェントが自律的にそれらを取得して実行するのを待ちます。このテクニックは、ハルシネーション率が最大 85% (既存のリポジトリ) および 92.4% (カットオフ後のリポジトリ/スキル) に達し、Cursor、Cursor CLI、Windsurf、GitHub Copilot、Cline、Gemini CLI、OpenClaw、ZeroClaw、および NanoClaw に対するリモート ツール実行および RCE を達成することが実証されました。
なぜ重要か
先行するプロンプト インジェクションは、攻撃者が制御するプッシュ チャネル (メール、カレンダー招待) を必要とするため、スケーラビリティが制限されているのに対して、これはプル型で、相互作用なし、対象外の攻撃です。単一の植え込まれた悪意のあるパッケージは、自律的なファイル取得と実行機能を持つ任意の開発者のエージェントによって自動的に取得される可能性があり、フィッシング クリック、認証情報の入力、またはユーザー欺瞞は必要ありません。GPT-5.1/5.2、Claude Sonnet-4.5/Opus-4.5、および Gemini-2.5 全体でハルシネーション パターン (特に自己参照の所有者/リポジトリ命名法) が一貫しているため、ほぼすべての主要な AI コーディング アシスタントに同時に影響を与えます。これは、単一ベンダーのバグではなく、構造的でベンダー間の アーキテクチャの欠陥です。
攻撃経路
攻撃者は、LLM ハルシネーション分布分析を使用して、人気のあるプラットフォーム (GitHub など) で予測されたハルシネートされたパッケージ/リポジトリ/スキル名を登録し、悪意のある install/実行スクリプトを組み込みます。AI コーディング エージェントは、開発者がトレンド リソースのクローン作成またはインストールを要求すると、中毒されたリソースを自律的に取得して実行します。
影響を受けるシステム
Cursor、Cursor CLI、Windsurf、GitHub Copilot、Cline、Gemini CLI、OpenClaw、ZeroClaw、NanoClaw (自律的なフェッチ/実行ツール アクセスを備えた AI コーディング エージェント)
緩和策
信頼できないコード フェッチの自律/自動承認実行モードを無効にします。信頼できるレジストリに対するパッケージ/リポジトリ許可リストを実装します。インストール前に AI が提案する依存関係を手動で確認します。利用可能な単一パッチはありません。ベンダーは事前開示で通知されました。