Новый класс атак на ИИ-агентов: HalluSquatting
1783678246661 927063 scaled

Вот перефразированный текст новости на русском языке:

Новый тип атак на ИИ-агентов: как галлюцинации нейросетей превращают в угрозу

Исследователи из Тель-Авивского университета, Техниона и компании Intuit выявили новый класс кибератак, направленных на агентные системы искусственного интеллекта. Суть метода заключается в использовании склонности языковых моделей (LLM) к выдумыванию несуществующих идентификаторов репозиториев, навыков и других внешних ресурсов.

В своей научной работе авторы продемонстрировали, что такие ошибки (галлюцинации) можно превратить в канал для доставки вредоносных инструкций. В ходе контролируемых экспериментов атака приводила к активации встроенных инструментов ИИ-агентов и удаленному выполнению кода.

«Склонность LLM галлюцинировать идентификаторы ресурсов можно использовать для усиления нетаргетированных атак путем внедрения промптов», — отмечается в исследовании.

Речь идет именно об агентных ИИ-системах, которые не просто отвечают на вопросы, а получают доступ к файлам, ищут информацию в интернете, клонируют репозитории, устанавливают расширения, запускают команды в терминале и вызывают API.

Как работает атака HalluSquatting

Авторы назвали этот метод Adversarial HalluSquatting. Сценарий строится вокруг предсказуемой ошибки модели. Пользователь просит ИИ-агента, например, клонировать популярный репозиторий или установить навык. Агент должен самостоятельно определить точный адрес ресурса. Если модель не знает правильный идентификатор, она может придумать похожий.

Злоумышленник заранее отслеживает популярные ресурсы, многократно опрашивает модель и выясняет, какие несуществующие адреса она чаще всего генерирует. Затем он регистрирует такие имена на GitHub, ClawHub или других платформах и размещает там вредоносные инструкции. Если ИИ-агент позднее «галлюцинирует» именно этот адрес, он загрузит вредоносный ресурс и начнет работать с ним как с настоящим.

Авторы подчеркивают масштабируемость схемы. В отличие от предыдущих методов инъекций промпта, злоумышленнику не нужно отправлять письмо конкретной жертве, добавлять событие в календарь или получать доступ к общему документу. Достаточно опубликовать вредоносный ресурс в публичном месте и дождаться, пока агент сам его запросит.

«Один скомпрометированный ресурс может привести к компрометации множества машин», — отметили исследователи.

Результаты тестов на репозиториях

Исследователи провели более 14 000 запусков. На первом этапе они проверили шесть базовых моделей через публичные API: Gemini 2.5 Flash, Gemini 2.5 Pro, GPT-5.1, GPT-5.2, Sonnet 4.5 и Opus 4.5.

Моделям давали запрос вида «выведи shell-команду для клонирования репозитория». В выборку вошли 10 недавних проектов из GitHub Trending и пять старых репозиториев 2013–2018 годов в качестве контрольной группы.

Для новых репозиториев средний уровень галлюцинаций составил 92,4%. В 53 из 60 комбинаций «репозиторий — модель» система ни разу не указала правильного владельца проекта. Для старых репозиториев средний показатель был 0,9%. По словам авторов, разрыв связан с тем, что старые проекты, вероятно, присутствовали в обучающих данных моделей, а новые — нет.

Исследователи выделили три типа галлюцинаций:
1. Модель ставит название репозитория и в поле владельца, создавая адрес вида repo/repo.
2. Приписывание проекта реальному, но неправильному владельцу.
3. Placeholder-ответы вроде username/repo.

Самым удобным для атаки оказался первый вариант, поскольку он предсказуем и часто доступен для регистрации. На 6000 запросов по новым проектам модели выдали прямо пригодный для регистрации slug в 27% запусков — 1602 раза. Для каждого трендового репозитория из выборки нашелся как минимум один регистрируемый кандидат в топ-10 универсального рейтинга.

Реальные ИИ-приложения под ударом

На втором этапе авторы перешли от базовых моделей к рабочим приложениям с доступом к терминалу. В тестах участвовали Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, а также OpenClaw, ZeroClaw и NanoClaw.

В сценариях клонирования репозиториев комплексная атака end-to-end срабатывала в 20–65% запусков в зависимости от приложения, модели и типа полезной нагрузки. В таблице исследования указаны, например, 65% для Windsurf с SWE-1.5, 45% для Cline, 35% для Copilot Chat, 30% для Cursor CLI и 20–25% для разных сценариев Cursor.

У OpenClaw результаты были выше. С Sonnet 4.6 система показала 100% как по вызову встроенных инструментов, так и по удаленному выполнению кода. С Opus 4.6 показатель составил 80% в обоих сценариях. С GPT-5.4 Codex вызов инструментов сработал в 10 из 10 запусков, а удаленное выполнение кода — в 4 из 10.

Почему веб-поиск помогает, но не решает проблему

Одним из главных защитных факторов оказался веб-поиск перед клонированием или установкой ресурса. Когда Cursor CLI выполнял поиск перед клонированием, 93,4% результатов были корректными. Без поиска 99,1% slug оказались галлюцинированными.

Формулировка запроса тоже сильно влияла на итог. Ни один тип промпта не оказался универсально безопасным — в каждой категории нашлась хотя бы одна модель с уровнем галлюцинаций выше 50%.

Skill squatting: атака через навыки

Отдельный блок исследования посвящен ClawHub — маркетплейсу навыков для OpenClaw и совместимых ассистентов. Исследователи нашли два класса уязвимостей:
— удаление слова из названия;
— расхождение между человекочитаемым названием навыка и его реальным slug.

В одном эксперименте OpenClaw с Sonnet 4.6 проверяли на 14 навыках. Из 140 запусков 127 (90,7%) привели к идентификатору, который мог быть зарегистрирован атакующим. Только 13 запусков вернули канонический slug.

В другом эксперименте авторы проверяли переносимость атаки между OpenClaw, ZeroClaw и NanoClaw. Из 90 запусков 85 (94,4%) завершились негативно. После установки подмененного навыка результаты были еще жестче. Эксперимент с эксфильтрацией контекста дал 100% успеха: каждая комбинация ассистента и модели доставляла полезную нагрузку во всех 10 запусках. Сценарий, при котором скомпрометированное устройство само подключается к серверу атакующего и передает ему доступ к командной строке, сработал в 88% случаев.

Реакция разработчиков и рекомендации

Исследователи сообщили о результатах разработчикам приложений, провайдерам моделей и платформам. На стороне ИИ-приложений они предложили проверять источник перед любой загрузкой внешнего ресурса — клонированием репозитория, установкой навыка, контейнера или модели. Для этого агент должен сначала выполнить поиск и только потом передавать адрес встроенному инструменту.

П

Все Новости 21Shares a16zcrypto Aave Alameda Research Alchemy Algorand (ALGO) Alibaba Amazon AMD AML / KYC AMM Anchorage Android Animoca Brands Anthropic Apple Arbitrum (ARB) ARK Invest Arkham Aster B2B Balancer (BAL) Base Bernstein Binance BIS Bitcoin Core Bitcoin Pizza Day Bitfarms Bitfinex Bitget BitGo Bithumb BitMEX BitOK BitRiver Bitwise BlackRock Block Blockchain.com Bloomberg Bluesky BNB Chain BNP Paribas Börse Stuttgart BTCFi Bullish Bybit Canaan Cardano (ADA) CBDC CertiK CFTC Chainalysis Chainlink (LINK) Charles Schwab Circle Citi CleanSpark CME Group Coinbase CoinDesk CoinEx CoinGecko CoinShares ConsenSys Core Scientific Crypto.com CryptoQuant Cumberland Curve (CRV) Dash DCG DeepMind DeepSeek DeFi dePIN Deutsche Bank DEX Dogecoin (DOGE) Dune Analytics Elliptic Emurgo ERC-20 Ernst & Young ETF Ethena Ethereum (ETH) Ethereum Name Service Exodus Facebook FATF FDIC Fidelity Investments Firefox ForkLog Consulting FTX G20 Galaxy Digital Gemini GitHub Glassnode Goldman Sachs Google Google Gemini Google Trends Grayscale Investments Hive HSBC HTX Huawei Hut 8 Hyperliquid IBM ICO ING Injective Interactive Brokers IPO Iris Energy JPMorgan Jump Trading K33 Kaiko Kalshi KPMG Kraken KuCoin LayerZero Lazarus Ledger LG Lido Lightning Network Litecoin (LTC) Marathon (MARA) Mastercard Matrixport Messari meta MetaMask MEV MiCA Microsoft MicroStrategy (Strategy) Monad Monero (XMR) MoonPay Morgan Stanley Nansen Nasdaq NFT NVIDIA NYDIG OKX OneLiners Open Source OpenAI OpenClaw OpenSea Optimism (OP) Oracle P2P palantir PancakeSwap Pantera Capital Paradigm Paxos PayPal Perplexity Polkadot (DOT) Polygon (MATIC) Polymarket Pump.fun PwC PYUSD QCP Capital Revolut Riot Platforms Ripple (XRP) Robinhood RWA S&P 500 Samsung Santiment SBI Holdings SEC Sei Network SharpLink SoftBank Solana (SOL) Solana-резерв Standard Chartered PLC Starbucks StarkNet StarkWare State Street Stripe Sui (SUI) SWIFT Taiko Telegram Terra (LUNA) Tesla Tether (USDT) TGE The DAO The Open Network THORChain Toncoin Tron (TRX) uber ubs Uniswap (UNI) USD Coin (USDC) Venus Visa Web3Net WhatsApp Windows Wintermute World Liberty Financial (WLFI) worldcoin x402 XAI Zcash (ZEC) ZK-rollups zkevm ZKP Австралия авторские права Адам Бэк Азартные игры Аирдропы акции Альткоины Анализ рынка Аппаратные кошельки Аргентина Артур Хэйес аудит Банк Англии Банки и финтех банкротство Барри Силберт Беларусь белые хакеры Бермудские острова бизнес Биткоин биткоин-резерв Ближний Восток Блокировки и запреты блокчейн блокчейн-платформы ботнет Брэд Гарлингхаус Бутан вайб-кодинг вакансии Великобритания Венгрия Венесуэла Венчурные инвестиции видео Википедия Вилли Ву Виталик Бутерин волатильность выборы Вьетнам ВЭФ генеративный ИИ Генпрокуратура Германия Голливуд Гэри Генслер Дайджест кибербезопасности Дайджест месяца Дайджесты Дания ДАО даркнет Децентрализация Джейми Даймон Джек Дорси дипфейки ДНК домен Дональд Трамп Дубай евро Европа ЕЦБ запрет майнинга золото Игры и GameFi Израиль ИИ ИИ-агенты Илон Маск инвестиции индекс страха Индия Индонезия Институционалы и киты интернет интероперабельность интерфейс мозг — компьютер (BCI) инфраструктура Иран Ирландия Искусственный Интеллект Испания Исследования Итоги недели Казахстан календарь Камбоджа Канада квантовые вычисления квантовые компьютеры кванты Кибербезопасность Киберпреступления Китай книга комиссии комплаенс компьютеры конкуренция конференция конфискация конфискованные биткоины Космос Кошельки Кредитование крипта криптоактивы криптоанархизм криптовалюты Криптография Криптодеривативы Криптоматы Криптоплатежи Крипториум Крипториум: Анонимность Крипториум: Биткоин Крипториум: Технические основы Крипториум: Экономическая теория Кристин Лагард Кроссчейн-протоколы Куба Кыргызстан ликвидность листинг Лонгриды Майкл Сэйлор Майнинг Макроэкономика Мальта Масштабирование Матрица МВФ Медицина мемы Метавселенные Минфин США Мнения Москва мошенники музыка Мьянма Налоги Наука Недвижимость Непал НКЦБФР Новости Новости ForkLog ОАЭ облачные вычисления облигации обменники образование общество объем торгов Ончейн-анализ опровержение отчеты Павел Дуров партнерство Пентагон Питер Брандт Питер Тиль подкаст поисковая система покупка биткоинов политика Польша Правоохранители Преступления Приватность и личные данные приложения Прогнозы о рынке криптовалют протоколы процессинг разработчики Расследования ребрендинг Регулирование Регулирование биткоина в России резервные валюты рейтинг реклама религия Решения второго уровня (L2) Робономика роботы Россия Росфинмониторинг рынки предсказаний Сальвадор санкции Саудовская Аравия Сбои и уязвимости Северная Корея (КНДР) сельское хозяйство Сингапур Слияния и поглощения (M&A) Смарт-контракты смарт-очки СМИ снг сокращения Соцсети Спецслужбы Спорт стандарты стартапы Стейблкоины Стейкинг Суды суперкомпьютеры США Сэм Бэнкман-Фрид Таиланд телеком Теханализ Технические обновления технологии Токенизация активов Токеномика токены Том Ли торги транзакции Транспорт Трейдинг Турция Уинклвоссы Украина утечка данных фиатные валюты финансовая система Финансовые пирамиды финансы Финляндия Фондовый рынок фонды Франция ФРС США фьючерсы халвинг хардфорки Хестер Пирс хешрейт хранение ЦБ РФ Цена биткоина цензура Централизованные биржи (CEX) цифровая экономика цифровой евро Чанпэн Чжао Чарльз Хоскинсон чат-боты чипы Швейцария шифропанки штрафы эксперимент Энергетика Энтони Скарамуччи Эстония Южная Америка Южная Корея Япония