HalluSquatting – jak halucynacje AI otwierają drzwi botnetom

Wyobraź sobie, że asystent AI, któremu ufasz, podsuwa ci link do repozytorium z kodem. Niestety – to fałszywka, a pod spodem czai się złośliwe oprogramowanie. Brzmi jak scenariusz z filmu? Niestety, to realne zagrożenie. Zespół badaczy z Tel Aviv University i Technion we współpracy z Intuit opisał atak, który wykorzystuje jedną z największych słabości modeli językowych – ich skłonność do halucynacji.

Jak działa HalluSquatting – nowy typ ataku na agentów AI

Badacze nazwali tę technikę Adversarial HalluSquatting (wrogie wykorzystanie halucynacji). Jej mechanizm przypomina znane od lat typosquatting, tyle że zamiast na literówkach użytkowników żeruje na błędach popełnianych przez modele sztucznej inteligencji. Gdy asystent AI generuje odpowiedź, czasem tworzy linki do repozytoriów kodu, bibliotek czy innych zasobów, które w rzeczywistości nie istnieją. To właśnie te halucynacje stają się celem ataku.

Atak przebiega w kilku krokach. Najpierw badacze przewidują, jakie fałszywe nazwy zasobów może wygenerować dany model. Następnie rejestrują te nazwy (np. domeny lub pakiety) i umieszczają pod nimi złośliwe instrukcje. Kiedy agent AI – wykonujący zadania takie jak przeszukiwanie sieci, pisanie kodu czy uruchamianie poleceń – trafi na taki spreparowany zasób, traktuje go jako wiarygodny i wykonuje zawarte w nim polecenia. W ten sposób atakujący może przejąć kontrolę nad działaniem asystenta.

Podobieństwo do typosquattingu i promptware

W artykule zatytułowanym „Beware of Agentic Botnets: Scalable Untargeted Promptware Attacks via Universal and Transferable Adversarial HalluSquatting” autorzy podkreślają, że wraz z rosnącą popularnością agentowych aplikacji LLM pojawia się nowa kategoria zagrożeń, którą nazwali promptware. Wcześniejsze ataki wymagały bezpośredniego dostępu do modelu, ale HalluSquatting działa także w sytuacjach, gdy taka bezpośrednia ścieżka jest zamknięta. Wystarczy, że model samodzielnie wygeneruje fałszywy link – a atakujący już czeka z przygotowaną pułapką.

Skuteczność ataku w testach na asystentach kodowania

Badacze przetestowali swoją metodę na popularnych narzędziach AI wspomagających programistów: Cursor, GitHub Copilot, Gemini CLI i OpenClaw. Wyniki są alarmujące. W scenariuszu klonowania repozytoriów halucynacje występowały w aż 85% przypadków. Co gorsza, podczas instalacji umiejętności (skill installation) odsetek ten sięgał 100% – model za każdym razem generował fałszywy zasób.

W kontrolowanych eksperymentach atak HalluSquatting prowadził do zdalnego wykonywania kodu (remote code execution) na maszynach testowych. Oznacza to, że przeciwnik może nie tylko podszyć się pod legalne repozytorium, ale również uzyskać pełną kontrolę nad systemem, na którym działa agent AI. Badacze ostrzegają, że ta technika może być wykorzystana do budowania botnetów – sieci zainfekowanych urządzeń sterowanych zdalnie przez atakującego.

Dlaczego to działa tak dobrze

Kluczowym problemem jest to, że agentowe modele AI – w przeciwieństwie do prostych chatbotów – mają uprawnienia do interakcji z systemem: otwierają pliki, uruchamiają polecenia, sięgają po zasoby z sieci. Gdy dodatkowo nie weryfikują autentyczności pobieranych danych, stają się łatwym celem. Halucynacje nie są tu wyjątkiem, ale regułą – model często „wymyśla” linki, zamiast przyznać, że nie zna odpowiedzi.

Szerszy kontekst: od halucynacji do botnetów

HalluSquatting nie jest odosobnionym przypadkiem. Wcześniejsze badania pokazały, że atakujący potrafią manipulować agentami AI na wiele sposobów. W kwietniu naukowcy z Google opisali strony internetowe zaprojektowane do przejmowania agentów poprzez pośrednie wstrzykiwanie promptów (indirect prompt injection). Ataki te umożliwiały kradzież haseł, usuwanie plików czy manipulację płatnościami.

Z kolei badanie nad atakiem CopyPasta pokazało, jak ukryte prompty w plikach deweloperskich mogą zmusić asystentów kodowania do rozpowszechniania złośliwego kodu. W czerwcu użytkownik OpenClaw zgłosił, że jego agent AI padł ofiarą ponad 6000 prób wyłudzenia poufnych informacji. Wszystkie te przypadki łączy jedno: agent AI ufa informacjom z zewnątrz bez krytycznej weryfikacji.

Botnety napędzane przez AI

Badacze ostrzegają, że HalluSquatting może być wykorzystywany do tworzenia botnetów sterowanych przez modele językowe. Botnet – sieć zainfekowanych komputerów – tradycyjnie służy do przeprowadzania ataków DDoS, kopania kryptowalut, rozsyłania malware’u czy kampanii ransomware. Jeśli atakujący zdoła skłonić wiele agentów AI do pobrania złośliwych instrukcji, powstanie rozproszona infrastruktura ataku, którą trudno będzie zatrzymać. Co więcej, skala może być ogromna – modele są wdrażane na milionach urządzeń.

Co to oznacza dla użytkowników i deweloperów

Wyniki badań pokazują, że bezpieczeństwo agentów AI wymaga fundamentalnych zmian. Obecne modele nie mają wbudowanych mechanizmów weryfikacji autentyczności zasobów, do których prowadzą linki. Dopóki nie nauczą się odróżniać realnych repozytoriów od halucynacji, ataki takie jak HalluSquatting będą skuteczne.

Dla twórców narzędzi AI oznacza to konieczność implementacji dodatkowych warstw bezpieczeństwa – na przykład sprawdzania istnienia domen czy pakietów przed ich użyciem. Dla użytkowników – ostrożność w stosowaniu agentów z dostępem do systemu i świadomość, że nawet pozornie inteligentne odpowiedzi mogą kryć w sobie pułapkę. Halucynacje przestały być tylko ciekawostką badawczą – stały się realnym wektorem ataku.

Perspektywy na przyszłość

Badacze zapowiadają dalsze prace nad wykrywaniem i blokowaniem HalluSquattingu. Jednocześnie podkreślają, że problem jest szerszy – dotyczy każdego agenta AI, który polega na generowanych przez siebie linkach. Dopóki modele nie nauczą się „przyznawać do niewiedzy” lub weryfikować źródła, będziemy narażeni na podobne ataki. Rozwiązanie może leżeć w połączeniu technik detekcji halucynacji z aktualnymi listami zaufanych zasobów – ale to na razie wizja przyszłości.

Dla polskich czytelników – programistów, menedżerów i entuzjastów AI – to sygnał, że era bezkrytycznego zaufania do asystentów AI dobiega końca. Narzędzia takie jak Copilot czy Cursor są niezwykle pomocne, ale wymagają też nowego podejścia do bezpieczeństwa. HalluSquatting to kolejny dowód, że w świecie agentów AI każda halucynacja może mieć realne konsekwencje.

Źródło