漏洞  ·  2026-07-11

HalluSquatting — 对抗性幻觉抢占使AI编码助手能够分发僵尸网络

漏洞High 影响Global
来自特拉维夫大学、以色列理工学院和Intuit的研究人员发表了《警惕代理僵尸网络》(Beware of Agentic Botnets),引入了对抗性幻觉抢占:攻击者预测LLM在被要求获取趋势资源时最有可能幻觉的不存在的包/仓库/技能名称,抢先以恶意负载注册这些名称,并等待AI编码代理自动获取并执行它们。该技术对现有仓库的幻觉率达到85%,对后期外仓库/技能达到92.4%,并被演示可以针对Cursor、Cursor CLI、Windsurf、GitHub Copilot、Cline、Gemini CLI、OpenClaw、ZeroClaw和NanoClaw实现远程工具执行和RCE。
与之前需要攻击者控制推送渠道(电子邮件、日历邀请)限制规模的提示注入不同,这是一个基于拉取的、零交互的、无目标的攻击——单个植入的恶意包可以被任何拥有自主文件获取和执行能力的开发者代理自动获取,不需要钓鱼点击、凭证输入或用户欺骗。它同时影响几乎所有主要的AI编码助手,因为幻觉模式(特别是自引用的所有者/仓库命名)在GPT-5.1/5.2、Claude Sonnet-4.5/Opus-4.5和Gemini-2.5中是一致的,使其成为结构性的跨供应商架构缺陷而非单一供应商错误。
攻击者在流行平台(如GitHub等)上通过LLM幻觉分布分析注册预测的幻觉包/仓库/技能名称,嵌入恶意安装/执行脚本;当开发者要求AI编码代理克隆或安装趋势资源时,代理自动获取并执行被污染的资源。
Cursor、Cursor CLI、Windsurf、GitHub Copilot、Cline、Gemini CLI、OpenClaw、ZeroClaw、NanoClaw(具有自主获取/执行工具访问能力的AI编码代理)
禁用不受信任代码获取的自主/自动批准执行模式;针对权威注册表实施包/仓库白名单;在安装前手动验证AI建议的依赖项;没有单一补丁可用——供应商在披露前已被通知
arXiv — Beware of Agentic BotnetsSecurityWeek
在实时动态中查看 浏览更多 AI 安全与治理相关发现 — 每日清晨更新。
打开动态 →