Была выявлена новая методология атаки, которая использует присущее моделям искусственного интеллекта (ИИ) ограничение и потенциально может скомпрометировать тысячи компьютеров. По данным Ars Technica, это открытие затрагивает девять популярных инструментов, используемых программистами, демонстрируя, как функция помощников ИИ может быть использована преступниками.
Механизм атаки HalluSquatting
Атака получила название HalluSquatting и использует общую особенность больших языковых моделей (LLM): когда они не могут идентифицировать конкретный проект, они склонны выдумывать адрес вместо того, чтобы заявить о незнании. Хотя это кажется просто технической деталью, именно здесь возникает риск. Преступники заранее регистрируют эти вымышленные адреса, внедряют вредоносный код и ждут, пока помощник по программированию попытается получить к ним автоматический доступ.
Масштабируемость вектора атаки
В отличие от большинства инъекций подсказок (prompt injection), которые требуют конкретного действия против каждой цели, HalluSquatting инвертирует эту логику. Именно агенты ИИ сами ищут проекты в ходе своей обычной деятельности. Исследователи указали, что масштабируемый характер этой атаки позволяет злоумышленнику с минимальными усилиями скомпрометировать большое количество пользователей. Если разработчик запрашивает установку недавно запущенного проекта, а система не находит его по адресу, она может непреднамеренно получить доступ к странице, подготовленной преступником.
Фокус на недавних проектах
Проведенные тесты показали, что LLM могут корректно находить большинство проектов, опубликованных до 2019 года. Однако среди релизов 2025 года средний уровень галлюцинаций достигает впечатляющих 92,4%. Поскольку эти проекты еще не входят в обучающий набор моделей, вероятность того, что ИИ сгенерирует несуществующие адреса, выше. Исследовательская группа также смогла составить карту предсказуемых закономерностей в этих ответах, что облегчает предварительную регистрацию этих имен злоумышленниками.
Риски, связанные с галлюцинациями
Если вредоносный код будет выполнен, затронутый компьютер может быть интегрирован в сеть, управляемую удаленно преступниками. Угрозы включают формирование ботнетов, атаки программ-вымогателей, распределенные атаки типа «отказ в обслуживании» (DDoS) и незаконная добыча криптовалют. Майкл Баргури, технический директор Zenity, охарактеризовал ситуацию как «очень интересное исследование» и «очень реальную угрозу». Йохан Ребергер добавил, что способ, которым LLM находят проекты, может эволюционировать в новый вектор атаки.
Исследование подчеркивает постоянную необходимость человеческого надзора за помощниками ИИ. Крайне важно проверять происхождение любого предлагаемого автоматически проекта, библиотеки или компонента перед его установкой, поскольку эта простая мера может предотвратить превращение галлюцинации модели в уязвимость безопасности.

