HalluSquatting AI漏洞披露 可利用模型幻觉调用恶意代码仓库

作者:云上AI 日期:2026-07-10 12:36:10   阅读:351 次   
研究人员披露HalluSquatting新型AI漏洞,可利用AI模型幻觉诱导其访问错误代码仓库并执行恶意代码。测试显示2025年新仓库幻觉率达92.4%,部分智能体攻击成功率接近100%,可能造成数据窃取、挖矿等危害。

HalluSquatting AI漏洞披露 可利用模型幻觉调用恶意代码仓库

研究人员近日披露名为HalluSquatting的新型AI漏洞,该漏洞可放大AI模型调用工具时的幻觉现象,诱导模型将不存在或错误的代码仓库地址当作真实地址访问并执行代码。

AI幻觉指AI模型生成的不正确或具有误导性的结果,通常由训练数据不足、模型假设错误或训练数据偏差等因素引发。

该研究由特拉维夫大学、以色列理工学院和Intuit的研究人员共同发布,研究指出智能体AI在遇到陌生项目、仓库或工具名称时,可能自行补全出看似合理但实际错误的地址。

HalluSquatting漏洞原理示意图

例如当新仓库地址为OriginalOwner/WindowsTelemetryOff时,由于模型训练数据未覆盖较新的项目,模型可能生成SuperHacker/WindowsTelemetryOff、WindowsTelemetryOff/WindowsTelemetryOff等带拼写误差的近似地址。

漏洞危害与攻击成功率

当Claude等代码智能体收到“运行windowstelemetryoff脚本”之类的指令时,模型可能直接幻觉出仓库名,甚至在执行网页搜索后仍访问到恶意版本,并进一步运行其中的代码。

恶意代码一旦在用户设备上执行,可能触发反向shell、数据与密码窃取、恶意软件安装、加密货币挖矿,甚至继续控制智能体执行后续攻击操作。

量化测试结果

  • 模型对近期代码仓库位置的幻觉率最高可达85%,对热门智能体技能可达100%
  • 2025年发布的样本GitHub仓库名称,模型平均幻觉率为92.4%
  • 2019年或更早发布的仓库,地址错误率仅为0.9%

在应用层攻击成功率存在明显分化:Cursor、Gemini CLI和Copilot的攻击成功率为20%-35%,OpenClaw及其变体的攻击成功率则接近80%-100%。

来源:IT之家

发表评论

文明上网,从我做起!

评论列表COMMENT

  • 暂时还没有人发表评论。