
在人工智能安全发展史上,快速注入攻击迅速成为首要威胁。大型语言模型本质上无法区分用户提供的合法指令和潜藏在电子邮件、源代码以及其他第三方内容中的恶意指令。这使得攻击者可以轻而易举地暗中注入恶意命令,而大型语言模型却能轻易执行这些命令。
由于无法强制执行可信来源和不可信来源之间的这一关键界限,人工智能 引擎开发人员只能建立复杂的防护措施来减轻损害,而不是解决根本原因。
迄今为止,大多数即时注入攻击都属于推送式攻击,即针对每个潜在受害者进行攻击。例如,攻击者将恶意指令注入到单个电子邮件或日历邀请中。由于注入的恶意代码必须发送给(或推送给)每个特定目标,因此攻击规模有限,难以对整个互联网造成大规模攻击。
与此同时,基于拉取式攻击(即LLM主动寻找网站上植入的恶意提示)仍然受到限制。由于无法诱使大量LLM访问恶意网站,这类攻击也无法大规模实施。
如今,研究人员设计了一种基于拉取的攻击,彻底改变了这一切。这种名为 HalluSquatting 的新型攻击能够构建庞大的僵尸网络,发起大规模 DDoS 攻击,并大规模感染设备,这在提示注入攻击中尚属首次。该攻击针对人工智能编码助手和代理,包括 Cursor、Cursor CLI、Gemini CLI、Windsurf、GitHub Copilot、Cline、OpenClaw、ZeroClaw 和 NanoClaw,这些工具都易受攻击。在日常运行过程中,这些助手和代理会定期从代码库和注册表中拉取代码和其他资源。

图1:HalluSquatting威胁模型
HalluSquatting(对抗性幻觉占位)利用了LLM(低级逻辑管理器)固有的幻觉倾向,即幻觉化存储库和注册表中托管的资源标识符。它针对的是编码代理和助手,这些代理和助手通常会访问高权限命令行来运行来自第三方资源的代码。通过预测LLM最有可能幻觉化的标识符,然后注册这些标识符并植入安装反向shell或其他恶意软件的指令,该攻击可以无差别地感染大量设备,而无需逐个进行目标定位。
研究人员在周三发表的一篇论文中写道:“这种攻击的可扩展性使得攻击者能够通过瞄准热门资源,以最小的努力入侵大量用户,从而最大限度地提高被抢注资源的恢复概率。通过利用代理应用程序的集成 shell 和终端来运行脚本和代码,攻击者可以通过在注册的资源中嵌入安装反向 shell 的指令,有效地‘感染’许多独立的代理应用程序。”
HalluSquatting 能够大规模控制分布式设备,因此有可能实现以往通过快速注入无法达成的各种目标。大规模勒索软件攻击和用于 DDoS 攻击或加密货币挖矿的大型僵尸网络就是两个典型的例子。
“域名抢注”(squatting)一词源于“域名抢注”(typosquatting),指的是域名、软件包或其他资源标识符的名称与热门域名、软件包或其他资源的名称高度相似,以此诱骗潜在用户访问或安装。域名抢注在2016年首次引起广泛关注,当时一名大学生向PyPI、RubyGems和NPM仓库上传了214个带有恶意代码的软件包,这些软件包的名称与合法软件包的名称高度相似。结果:这些恶意代码在超过17000个不同的域名上执行了超过45000次,其中超过一半的域名被授予了完全的管理权限。自此之后,域名抢注攻击愈演愈烈。
HalluSquatting 的出发点在于 LLM 无法准确识别用户指定的资源位置。例如,当开发者指示编码代理克隆一个热门的新代码库时,LLM 最多有 85% 的概率会“幻觉”出正确的位置。而当克隆热门“技能”(一种赋予代理特定能力和领域专业知识的指令、脚本或资源)时,幻觉的发生率则高达 100%。HalluSquatting 之所以专注于热门资源,是因为它们并未包含在 LLM 的训练范围内,而且会在短时间内获得大量的下载量。
研究人员表示,LLM(逻辑逻辑模型)无法提供正确位置是一个固有缺陷,源于训练偏差或对当前上下文指令的误解。这意味着,当用户指示代码助手克隆代码库或技能时(例如,以“克隆代码库名称”或“安装技能名称”的形式),机器人经常会导航到错误的位置来获取所需内容。
这些幻觉不仅不可避免,而且存在于所有六大主流语言学习模型(LLM)的基础层面,包括 Gemini-2.5-flash、Gemini-2.5-pro、GPT-5.1、GPT-5.2、Sonnet-4.5 和 Opus-4.5。此外,这些 LLM 幻觉中最常出现的错误位置也很容易提前预测。所有六大 LLM 在将提示中的库或技能名称与其在库或技能库中的正式名称进行匹配时,都遵循相同的模式。
LLM 遵循多种幻觉模式。HalluSquatting 利用的模式被描述为自指模式。所有六个模型都会生成 repo-name/repo-name slug,并将仓库名称视为所有者。利用这种模式无需探测模型。
有趣的是,LLMs能够正确解析2019年之前发布的存储库,平均错误率仅为0.9%。而同样的LLMs在为2025年发布的存储库生成序列时,平均错误率却高达92.4%。
一旦攻击者确定了最有可能被臆想出来的用户名,他们就会搜索可以注册的用户名。然后,他们会上传一个模仿热门资源的仓库或技能。仓库或技能内部隐藏着一些文本,这些文本可能位于自述文件或其他位置。这些文本包含一条指令,指示应用程序在LLM用户的机器上安装反向shell。或者,攻击者也可以直接包含安装shell所需的代码。无论哪种方式,编码助手或代理都会利用其对命令行窗口的访问权限来执行这些操作。
研究人员包括:特拉维夫大学的 Aya Spira、Elad Feldman、Avishai Wool 和 Ben Nassi,以色列理工学院的 Stav Cohen,以及 Intuit 公司的 Ron Bitton。他们于周三在此处发表了他们的研究成果。他们在论文中写道:攻击者利用代理应用程序的集成 shell 和终端运行脚本和代码,通过在注册的资源中嵌入安装反向 shell 的指令,有效地“感染”多个独立的代理应用程序。获取受攻击者控制的分布式计算资源,为攻击者实现各种目标打开了通往多种高影响力结果的大门。例如,攻击者如果能够利用终端入侵 LLM 应用程序,就可以扩大在不同网络上发起勒索软件攻击的数量,从而最大化经济收益。此外,攻击者还可以将受感染的机器聚合到一个僵尸网络中,并将其用于依赖强大计算能力的任务,例如:(1) 大规模加密货币挖矿(例如 Smominru、WannaMine)或 (2) 对受害者发起分布式拒绝服务 (DDoS) 攻击(例如 Mirai)。
HalluSquatting 已经引起了其他未参与该研究的人工智能安全研究人员的关注。
“这项研究非常棒,而且威胁确实存在,”安全公司 Zenity 的首席技术官 Michael Bargury 在一封电子邮件中写道。“就像域名抢注一样,这个问题不会消失。归根结底,这取决于我们赋予代理多大的自主权。他们迟早都会被欺骗。我们应该对此有所准备,并做好应对准备。”
独立研究员 Johann Rehberger 写道:有趣的是,这表明 LLM 资源解析可能成为攻击路径,攻击者可以先探测模型,找到高概率的虚构候选对象(如仓库名称、技能标识符等),然后占据这些对象,等待代理解析和使用它们。
但关键在于,他们发现了一种巧妙的技术,可以找到模型更容易使用/混淆的资源名称。这意味着在实际应用中,许多智能体可能会落入此类攻击的陷阱。
人工智能工具开发商经常夸大其平台的便捷性和效率。营销人员声称这些平台通过自动化和简化繁琐的任务来减轻工作流程的负担。但他们却对可能导致整个项目失败的固有缺陷讳莫如深。像HalluSquatting这样的攻击有力地提醒我们,某些效率被夸大了,因为最终用户仍然需要仔细核对细节,例如项目中使用的每个资源的具体位置。这也警示我们,过度依赖人工智能助手可能会导致意想不到的、甚至极其严重的后果。

丹·古丁 高级安全编辑
Dan Goodin 是 Ars Technica 的高级安全编辑,负责恶意软件、计算机间谍活动、僵尸网络、硬件黑客攻击、加密和密码等方面的报道。

💡💡💡 如果你觉得这篇文章对你有帮助,欢迎点赞、在看并分享给你的朋友!你所在的行业,正在经历怎样的物联网变革?欢迎在评论区留言与我们探讨!




添加关注,青数灯塔带你上高速!

夜雨聆风