
HalluSquatting 攻擊:駭客如何利用 AI 幻覺在幾小時內組建殭屍網路
想像你正在使用你最喜歡的 AI 程式碼助手,請它幫你安裝一個很受歡迎的新工具。AI 回應:「好的,正在安裝。」你的電腦開始下載、編譯、執行⋯⋯
但事實上,這個工具根本不存在。AI 憑空編造了一個名字,而駭客早在幾天前就在 GitHub 上註冊了這個名字,裡面藏著惡意程式碼。
歡迎來到 HalluSquatting(幻覺搶註攻擊) 的世界。
什麼是 HalluSquatting?
這是由特拉維夫大學 Ben Nassi 研究團隊(包含 Technion 的 Stav Cohen 與 Intuit 的 Ron Bitton)提出的新型攻擊手法。它巧妙地結合了 AI 的兩個已知缺陷:
- AI 幻覺(Hallucination):模型在不知道答案時會編造看似合理的回應
- 間接提示注入(Indirect Prompt Injection):外部內容挾持 AI 的行為
研究人員在 2026 年 7 月發表報告,證實 9 大主流 AI 平台都存在被利用的風險,並且成功讓多款流行的 AI 程式碼編輯器自動下載並執行測試用惡意程式。
攻擊四步驟
找熱門新工具] --> B[② 研究幻覺規律
記錄 AI 編造的名稱] B --> C[③ 搶註虛假名稱
在 GitHub/PyPI 註冊] C --> D[④ 等待觸發
用戶一問 AI 就中招]
第一步:挑選目標
駭客在 GitHub、npm、PyPI 等平台上尋找當前最熱門的新專案。為什麼要新的?因為全新的資源不在 AI 的訓練資料中,這正是模型開始瞎猜的時候。
第二步:研究幻覺規律
駭客反覆向不同 AI 平台詢問如何安裝該熱門資源,記錄 AI 最常編造出來的「虛假名稱」。
研究發現了一個驚人的規律:AI 在不同模型和不同問法下,會以高達 85%(倉庫請求)到 100%(技能安裝)的機率,編造出同一個錯誤名稱。
第三步:搶先註冊
駭客在確認 AI 的幻覺規律後,搶先到 GitHub、npm、PyPI 或插件商店上註冊這個虛假名稱,並在其中植入惡意的間接提示注入指令。
第四步:等待觸發
當真實用戶要求 AI 助手去獲取該熱門資源時,AI 會因為相同的幻覺邏輯,自動拉取駭客註冊的惡意版本。
更可怕的是,由於 AI 程式碼助手內建終端機執行工具,一旦用戶開啟了自動執行模式(如 Claude Code 的 --skip-permissions 或 Gemini CLI 的 yolo 模式),惡意指令就會直接在用戶的機器上執行,安裝殭屍程式。
受影響的 AI 工具
研究團隊成功讓以下工具執行攻擊者提供的程式碼:
| 工具 | 類型 | 風險等級 |
|---|---|---|
| Cursor | AI 程式碼編輯器 | 🔴 高 |
| Windsurf | AI 程式碼編輯器 | 🔴 高 |
| GitHub Copilot | AI 程式碼助手 | 🔴 高 |
| Cline | AI 代理框架 | 🔴 高 |
| Google Gemini CLI | 命令行 AI 工具 | 🔴 高 |
| OpenClaw 助手家族 | AI 代理框架 | 🔴 高 |
| ChatGPT | 通用 AI 平台 | 🟡 中(資訊洩漏) |
| Claude | 通用 AI 平台 | 🟡 中(資訊洩漏) |
| Gemini | 通用 AI 平台 | 🟡 中(資訊洩漏) |
這和傳統殭屍網路有什麼不同?
傳統殭屍網路 vs HalluSquatting 驅動的殭屍網路:
| 面向 | 傳統殭屍網路 | HalluSquatting 殭屍網路 |
|---|---|---|
| 建構時間 | 數月 | 幾小時 |
| 所需技術 | 資深駭客技能 | 任何人都能操作 |
| 攻擊向量 | 弱密碼、網路漏洞 | AI 幻覺 + 提示注入 |
| 防禦偵測 | 防火牆可攔截 | 防火牆看不見(純文字傳輸) |
| 目標設備 | 單一類型設備 | 任何 OS,只要有 AI 助手 |
「不需要密碼、不需要蠕蟲擴散,而且因為惡意載荷是以純文字方式傳送(AI 讀取的文字),而不是網路漏洞利用,防火牆根本不會注意到。」—— Ars Technica
這不是第一次
這類攻擊並非沒有前兆:
- 2026 年 1 月:Aikido Security 發現一個名為
react-codeshift的虛構 npm 套件,已被 AI 生成的安裝指令傳播到 237 個程式專案 - 2026 年中:Palo Alto Networks 的 Unit 42 發現約 25 萬個被 AI 幻覺出來的域名(稱為 Phantom Squatting)
- 本次:HalluSquatting 將同樣的概念從套件名稱延伸到完整 AI 工具鏈
如何保護自己?
研究團隊和 Ars Technica 提供了幾個實用建議:
- 不要使用自動執行模式:關閉 Claude Code 的
--skip-permissions和 Gemini CLI 的yolo模式,讓 AI 在執行命令前先詢問你 - 讓 Agent 先查證再執行:訓練 AI 在安裝或克隆之前,先確認資源是否真實存在
- 關注安全更新:追蹤你使用的 AI 工具的安全公告,及時更新
參考來源:Ars Technica, The Hacker News, Tel Aviv University 研究論文 (Aya Spira et al., Ben Nassi Group)
無程式碼也能輕鬆打造專業LINE官方帳號!一鍵導入模板,讓AI助你行銷加分!