Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой

Исследователи из Тель-Авивского университета, Техниона и Intuit выявили новый тип атак на агентные ИИ-приложения. Метод основан на способности языковых моделей выдумывать несуществующие идентификаторы репозиториев, навыков и других внешних ресурсов.
В своей работе авторы продемонстрировали, что подобные ошибки можно использовать как канал для внедрения вредоносных инструкций. В ходе контролируемых экспериментов атака вызывала активацию встроенных инструментов ИИ-агентов и удаленное выполнение кода.
«Склонность LLM к галлюцинациям идентификаторов ресурсов можно применять для усиления нетаргетированных promptware-атак», — отмечается в исследовании.
Речь идет об агентных ИИ-системах, которые не просто отвечают на запросы, а имеют доступ к файлам, выполняют поиск в интернете, клонируют репозитории, устанавливают расширения, запускают команды в терминале и вызывают API.
Как работает HalluSquatting
Атака получила название Adversarial HalluSquatting. Сценарий основан на предсказуемой ошибке модели. Пользователь просит ИИ-агента, например, клонировать популярный репозиторий или установить навык. Агент должен самостоятельно определить точный адрес ресурса. Если модель не знает правильный идентификатор, она может сгенерировать похожий.
Злоумышленник заранее отслеживает популярные ресурсы, многократно опрашивает модель и выясняет, какие несуществующие адреса она выдает чаще всего. Затем он регистрирует эти имена на GitHub, ClawHub или других платформах и размещает там вредоносные инструкции. Если ИИ-агент впоследствии «галлюцинирует» именно этот адрес, он загружает вредоносный ресурс и взаимодействует с ним как с легитимным.
Авторы подчеркивают масштабируемость схемы. В отличие от традиционных инъекций промпта, злоумышленнику не нужно отправлять письмо конкретной жертве, добавлять событие в календарь или получать доступ к общему документу. Достаточно опубликовать вредоносный ресурс в открытом доступе и дождаться, пока агент сам к нему обратится.
«Один скомпрометированный ресурс может привести к компрометации множества машин», — предупреждают исследователи.
Результаты тестов на репозиториях
Ученые провели более 14 000 запусков. На первом этапе они протестировали шесть базовых моделей через публичные API: Gemini 2.5 Flash, Gemini 2.5 Pro, GPT-5.1, GPT-5.2, Sonnet 4.5 и Opus 4.5.
Моделям давали запрос вида «выведи shell-команду для клонирования репозитория». В выборку вошли 10 недавних проектов из GitHub Trending и пять старых репозиториев 2013–2018 годов в качестве контрольной группы.
Для новых репозиториев средний уровень галлюцинаций составил 92,4%. В 53 из 60 комбинаций «репозиторий — модель» система ни разу не указала правильного владельца проекта. Для старых репозиториев средний показатель был 0,9%. По словам авторов, разница объясняется тем, что старые проекты, вероятно, присутствовали в обучающих данных моделей, а новые — нет.
Исследователи выделили три типа галлюцинаций:
1. Модель помещает название репозитория и в поле владельца, создавая адрес вида repo/repo.
2. Приписывание проекта реальному, но неверному владельцу.
3. Placeholder-ответы вроде username/repo.
Наиболее удобным для атаки оказался первый вариант, так как он предсказуем и часто доступен для регистрации. На 6000 запросов по новым проектам модели выдали пригодный для регистрации slug в 27% запусков — 1602 раза. Для каждого трендового репозитория из выборки нашелся как минимум один регистрируемый кандидат в топ-10 универсального рейтинга.
Реальные ИИ-приложения
На втором этапе авторы перешли от базовых моделей к рабочим приложениям с доступом к терминалу. В тестах участвовали Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, а также OpenClaw, ZeroClaw и NanoClaw.
В сценариях клонирования репозиториев end-to-end-атака срабатывала в 20–65% запусков в зависимости от приложения, модели и типа полезной нагрузки. В таблице исследования указаны, например, 65% для Windsurf с SWE-1.5, 45% для Cline, 35% для Copilot Chat, 30% для Cursor CLI и 20–25% для разных сценариев Cursor.
У OpenClaw результаты были выше. С Sonnet 4.6 система показала 100% как по вызову встроенных инструментов, так и по удаленному выполнению кода. С Opus 4.6 показатель составил 80% в обоих сценариях. С GPT-5.4 Codex вызов инструментов сработал в 10 из 10 запусков, а RCE — в 4 из 10.
Веб-поиск: помощь, но не панацея
Одним из главных защитных факторов оказался веб-поиск перед клонированием или установкой ресурса. Когда Cursor CLI выполнял поиск перед клонированием, 93,4% результатов были корректными. Без поиска 99,1% slug оказались галлюцинированными.
Формулировка запроса тоже сильно влияла на итог. Ни один тип промпта не оказался универсально безопасным, в каждой категории нашлась хотя бы одна модель с уровнем галлюцинаций выше 50%.
Skill squatting: атака через навыки
Отдельный блок исследования посвящен ClawHub — маркетплейсу навыков для OpenClaw и совместимых ассистентов. Исследователи нашли два класса уязвимостей:
— удаление слова из названия;
— расхождение между человекочитаемым названием навыка и его реальным slug.
В одном эксперименте OpenClaw с Sonnet 4.6 проверяли на 14 навыках. Из 140 запусков 127 (90,7%) привели к идентификатору, который мог быть зарегистрирован атакующим. Только 13 запусков вернули канонический slug.
В другом эксперименте авторы проверяли переносимость атаки между OpenClaw, ZeroClaw и NanoClaw. Из 90 запусков 85 (94,4%) завершились негативно. После установки подмененного навыка результаты были еще жестче. Эксперимент с эксфильтрацией контекста дал 100% успеха: каждая комбинация ассистента и модели доставляла полезную нагрузку во всех 10 запусках. Сценарий, при котором скомпрометированное устройство само подключается к серверу атакующего и передает ему доступ к командной строке, сработал в 88% случаев.
Реакция вендоров и предложения авторов
Исследователи сообщили о результатах разработчикам приложений, провайдерам моделей и платформам. На стороне ИИ-приложений они предложили проверять источник перед любой загрузкой внешнего ресурса — клонированием репозитория, установкой навыка, контейнера или модели. Для этого агент должен сначала выполнить поиск и только потом передавать адрес встроенному инструменту.
Платформам вроде GitHub и ClawHub авторы рекомендовали заранее резервировать имена, которые модели часто выдумывают, ограничивать опасное переиспользование популярных названий и проверять пользовательский контент на вредоносные инструкции для ИИ.
В GitHub ответили, что описанный сценарий не является уязвимость
Популярные новости: