AI 仓库调用漏洞 HalluSquatting 披露,攻击“龙虾”成功率约 80-100%
AI仓库调用漏洞HalluSquatting曝光:攻击成功率高达80-100%,利用模型幻觉窃取数据。了解如何防范这种新型AI安全威胁。
7 月 10 日消息,科技媒体 Tom's Hardware 昨日(7 月 9 日)发布博文,报道称研究人员发现名为 HalluSquatting 的新型 AI 漏洞,放大模型在调用工具时的“幻觉”,将不存在或错误的代码仓库地址当作真实地址使用。
注:AI 幻觉是 AI 模型生成的不正确或具有误导性的结果。这些错误可能由多种因素造成,包括训练数据不足、模型做出不正确的假设,或用于训练模型的数据存在偏差。
该研究由特拉维夫大学、以色列理工学院和 Intuit 研究人员发布,指出智能体 AI 在遇到陌生项目、仓库或工具名称后,可能自行补全出看似合理但实际错误的地址。

例如新仓库地址为 OriginalOwner/WindowsTelemetryOff,由于模型训练数据未覆盖较新的项目,模型可能生成 SuperHacker/WindowsTelemetryOff、WindowsTelemetryOff/WindowsTelemetryOff,或带拼写误差的近似地址。
研究称,当 Claude 等代码智能体收到“运行 windowstelemetryoff 脚本”之类指令时,模型可能直接幻觉出仓库名,甚至在执行网页搜索后仍访问到恶意版本,并进一步运行其中代码。
一旦恶意代码在用户设备上执行,可能触发反向 shell、数据与密码窃取、软件安装、加密货币挖矿,或继续控制智能体执行后续操作。
量化结果显示,模型对近期代码仓库位置的幻觉率最高可达 85%,对热门智能体技能可达 100%。2025 年发布的样本 GitHub 仓库名称,模型平均幻觉率为 92.4%;2019 年或更早发布的仓库,地址错误率为 0.9%。
在应用层,攻击成功率存在分化:Cursor、Gemini CLI 和 Copilot 的成功率为 20%-35%,OpenClaw 及其变体接近 80%-100%。
参考
Scalable Untargeted Promptware Attacks via Universal and Transferable Adversarial HalluSquatting


