В исследовательской лаборатории ИИ-ассистент попросили найти популярный инструмент, которого на самом деле не существовало под тем именем, которое он сам сгенерировал. Через несколько шагов помощник уже тянул чужой код и запускал его на машине пользователя. Именно так авторы новой атаки HalluSquatting показали, как привычка моделей «додумывать» имена превращается в проблему безопасности.
Что произошло
Исследователи описали схему, при которой злоумышленник заранее угадывает, какие ложные названия ИИ чаще всего придумывает для репозиториев, плагинов или «скиллов», а затем регистрирует эти имена раньше всех. Когда пользователь просит ассистента загрузить популярный инструмент, модель может снова выдать тот же придуманный вариант и наткнуться уже на подготовленную ловушку.
В итоге ИИ не просто открывает ссылку. Он подтягивает внешний ресурс, считывает спрятанные там инструкции и сам запускает команды, если у него есть доступ к терминалу или режиму автозапуска. Для атаки это удобно: вредоносный код не обязан проходить через классический сетевой фильтр, потому что его запускает сам агент.
Как это работает
HalluSquatting опирается сразу на две слабости. Первая — галлюцинация, когда модель уверенно называет несуществующий объект. Вторая — prompt injection, или подмена инструкции: в загруженный материал вшивают команды, которые уводят ассистента от задачи пользователя.
Авторы атаки не раскрыли все технические шаги, но общий сценарий понятен. Сначала они проверяют, какие названия ИИ выдумывает чаще всего. Затем регистрируют совпадение в репозитории или магазине плагинов и прячут там вредоносные указания. После этого достаточно одного запроса от пользователя — и ассистент сам подтягивает подставной ресурс.
Отдельно важно, что исследователи тестировали не абстрактную схему, а реальные инструменты для разработки. По их данным, они добились выполнения стороннего кода в Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI и семействе OpenClaw. В тестах использовали безопасные заглушки, а не настоящие вредоносные модули, но путь атаки от этого не меняется.
Кого это затрагивает и чем опасно
Под удар попадают все, кто доверяет ИИ-ассистенту скачивание и запуск кода без ручной проверки. Речь не только о разработчиках: похожие агенты уже входят в корпоративные среды, помогают собирать окружение, ставить расширения и выполнять рутинные команды.
Опасность в том, что такой сценарий легко масштабируется. Один поддельный пакет или один фальшивый репозиторий может дойти до множества машин, если название популярно и ассистент часто обращается к внешним источникам. В этом смысле HalluSquatting ближе к сборке ботнета, чем к разовой атаке на одного пользователя.
Похожую логику безопасности мы уже видели в других историях. Когда инструменты автоматизации начинают доверять имени больше, чем проверке источника, атакующий получает преимущество. Об этом же говорит и разбор того, как ИИ-агент ускорил вымогательскую атаку: автоматизация ускоряет не только защиту, но и нападение.
Исследователи отдельно отмечают, что это не проблема одной уязвимости и не классический баг, который закрывается патчем. Слабое место — в самой логике доверия: агент берёт имя, которое сам же и придумал, а потом считает его настоящим. Такой подход может подвести и в обычной работе с корпоративными данными, и при проверке внешних источников.
Что делать сейчас
Главное правило простое: не давать ИИ-ассистенту самому ставить и запускать то, что он только что нашёл в сети. Чем меньше у него прав на автозапуск, тем меньше шансов, что поддельный ресурс превратится в проблему.
Если в компании уже используют такие инструменты, стоит пересмотреть режимы работы. Ассистент должен сначала сверять название ресурса с реальным источником, а уже потом тянуть его в среду разработки. Пользователям же лучше относиться к любому названию, которое выдал ИИ, как к гипотезе, а не как к факту.
Для поездок и удалённой работы полезно заранее собрать базовый набор защиты: парольный менеджер, двухфакторную аутентификацию, обновления и отдельный канал для связи с рабочими системами. Для части сотрудников в командировках уместно добавить [защищённое подключение для поездок]https://freedome.space, чтобы не отдавать рабочие данные случайным сетям и не смешивать личный и корпоративный трафик.
Чек-лист: что проверить прямо сейчас
- Отключить автозапуск команд в ИИ-ассистенте, если он умеет сам ставить пакеты или запускать скрипты.
- Проверять, существует ли репозиторий, пакет или плагин в официальном источнике, а не только по подсказке модели.
- Запретить агенту работать с неизвестными внешними ресурсами без подтверждения человека.
- Ограничить права терминала и рабочей среды, где ИИ может выполнять команды.
- Включить двухфакторную аутентификацию на всех сервисах, связанных с разработкой и доступом к коду.
- Обновить политику для сотрудников: ИИ помогает искать и объяснять, но не решает, что ставить без проверки.
- Если команда работает в дороге, заранее подготовить безопасный канал доступа к корпоративным системам и отдельные рабочие аккаунты.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.