HalluSquatting 攻擊:駭客如何利用 AI 幻覺在幾小時內組建殭屍網路

站主自己的課程,請大家支持
無程式碼也能輕鬆打造專業LINE官方帳號!一鍵導入模板,讓AI助你行銷加分! 無程式碼也能輕鬆打造專業LINE官方帳號!一鍵導入模板,讓AI助你行銷加分!
  • Post by Dennis
  • Jul 12, 2026
post-thumb

HalluSquatting 攻擊:駭客如何利用 AI 幻覺在幾小時內組建殭屍網路

想像你正在使用你最喜歡的 AI 程式碼助手,請它幫你安裝一個很受歡迎的新工具。AI 回應:「好的,正在安裝。」你的電腦開始下載、編譯、執行⋯⋯

但事實上,這個工具根本不存在。AI 憑空編造了一個名字,而駭客早在幾天前就在 GitHub 上註冊了這個名字,裡面藏著惡意程式碼。

歡迎來到 HalluSquatting(幻覺搶註攻擊) 的世界。

什麼是 HalluSquatting?

這是由特拉維夫大學 Ben Nassi 研究團隊(包含 Technion 的 Stav Cohen 與 Intuit 的 Ron Bitton)提出的新型攻擊手法。它巧妙地結合了 AI 的兩個已知缺陷:

  1. AI 幻覺(Hallucination):模型在不知道答案時會編造看似合理的回應
  2. 間接提示注入(Indirect Prompt Injection):外部內容挾持 AI 的行為

研究人員在 2026 年 7 月發表報告,證實 9 大主流 AI 平台都存在被利用的風險,並且成功讓多款流行的 AI 程式碼編輯器自動下載並執行測試用惡意程式。

攻擊四步驟

flowchart LR A[① 選目標
找熱門新工具] --> B[② 研究幻覺規律
記錄 AI 編造的名稱] B --> C[③ 搶註虛假名稱
在 GitHub/PyPI 註冊] C --> D[④ 等待觸發
用戶一問 AI 就中招]

第一步:挑選目標

駭客在 GitHub、npm、PyPI 等平台上尋找當前最熱門的新專案。為什麼要新的?因為全新的資源不在 AI 的訓練資料中,這正是模型開始瞎猜的時候。

第二步:研究幻覺規律

駭客反覆向不同 AI 平台詢問如何安裝該熱門資源,記錄 AI 最常編造出來的「虛假名稱」。

研究發現了一個驚人的規律:AI 在不同模型和不同問法下,會以高達 85%(倉庫請求)到 100%(技能安裝)的機率,編造出同一個錯誤名稱。

第三步:搶先註冊

駭客在確認 AI 的幻覺規律後,搶先到 GitHub、npm、PyPI 或插件商店上註冊這個虛假名稱,並在其中植入惡意的間接提示注入指令。

第四步:等待觸發

當真實用戶要求 AI 助手去獲取該熱門資源時,AI 會因為相同的幻覺邏輯,自動拉取駭客註冊的惡意版本。

更可怕的是,由於 AI 程式碼助手內建終端機執行工具,一旦用戶開啟了自動執行模式(如 Claude Code 的 --skip-permissions 或 Gemini CLI 的 yolo 模式),惡意指令就會直接在用戶的機器上執行,安裝殭屍程式。

受影響的 AI 工具

研究團隊成功讓以下工具執行攻擊者提供的程式碼:

工具類型風險等級
CursorAI 程式碼編輯器🔴 高
WindsurfAI 程式碼編輯器🔴 高
GitHub CopilotAI 程式碼助手🔴 高
ClineAI 代理框架🔴 高
Google Gemini CLI命令行 AI 工具🔴 高
OpenClaw 助手家族AI 代理框架🔴 高
ChatGPT通用 AI 平台🟡 中(資訊洩漏)
Claude通用 AI 平台🟡 中(資訊洩漏)
Gemini通用 AI 平台🟡 中(資訊洩漏)

這和傳統殭屍網路有什麼不同?

傳統殭屍網路 vs HalluSquatting 驅動的殭屍網路:

面向傳統殭屍網路HalluSquatting 殭屍網路
建構時間數月幾小時
所需技術資深駭客技能任何人都能操作
攻擊向量弱密碼、網路漏洞AI 幻覺 + 提示注入
防禦偵測防火牆可攔截防火牆看不見(純文字傳輸)
目標設備單一類型設備任何 OS,只要有 AI 助手

「不需要密碼、不需要蠕蟲擴散,而且因為惡意載荷是以純文字方式傳送(AI 讀取的文字),而不是網路漏洞利用,防火牆根本不會注意到。」—— Ars Technica

這不是第一次

這類攻擊並非沒有前兆:

  • 2026 年 1 月:Aikido Security 發現一個名為 react-codeshift 的虛構 npm 套件,已被 AI 生成的安裝指令傳播到 237 個程式專案
  • 2026 年中:Palo Alto Networks 的 Unit 42 發現約 25 萬個被 AI 幻覺出來的域名(稱為 Phantom Squatting)
  • 本次:HalluSquatting 將同樣的概念從套件名稱延伸到完整 AI 工具鏈

如何保護自己?

研究團隊和 Ars Technica 提供了幾個實用建議:

  1. 不要使用自動執行模式:關閉 Claude Code 的 --skip-permissions 和 Gemini CLI 的 yolo 模式,讓 AI 在執行命令前先詢問你
  2. 讓 Agent 先查證再執行:訓練 AI 在安裝或克隆之前,先確認資源是否真實存在
  3. 關注安全更新:追蹤你使用的 AI 工具的安全公告,及時更新

參考來源:Ars Technica, The Hacker News, Tel Aviv University 研究論文 (Aya Spira et al., Ben Nassi Group)

TAG