
2026 年 7 月,資安界迎來了一種前所未有的攻擊手法——HalluSquatting(對抗性幻覺搶註)。由以色列特拉維夫大學(Tel Aviv University)、以色列理工學院(Technion)與 Intuit 的研究團隊共同發現,這種攻擊利用了大型語言模型(LLM)最根本的弱點:它會「幻想」。
什麼是 HalluSquatting?
HalluSquatting 的名稱由兩部分組成:Hallucination(幻覺) + Squatting(搶註)。
傳統的 Typosquatting(打字搶註)是利用人類打錯字來騙人——例如你本來要下載 requests 套件,但不小心打錯成 reqeusts,就被騙去下載惡意版本。
HalluSquatting 則是完全不同的層次——它不利用人類的錯誤,而是利用 AI 本身的幻覺。當你叫 AI 助理去獲取一個最新發布的資源(例如一個昨天才在 GitHub 上爆紅的專案),而這個資源不在 AI 的訓練資料中時,AI 不會誠實說「我不知道」,而是會「猜」一個看起來合理的名稱。
駭客的工作就是:預測 AI 會幻想出什麼名稱,然後搶先註冊它。
攻擊四部曲
研究團隊完整還原了 HalluSquatting 的攻擊流程:
第 1 步:監控趨勢
攻擊者密切關注 GitHub 每日/每週熱門儲存庫、Hacker News、Reddit 等平台,尋找最新發布但影響力極高的專案。關鍵是:這些專案太新了,LLM 的訓練資料中還沒有它們。
第 2 步:模擬探測(Oracle Probing)
攻擊者反覆向目標 AI 模型(如 GPT、Claude、Gemini)發出相同的提示詞,例如「下載 [趨勢專案] 並安裝」,統計 LLM 每次會幻想出什麼名稱。研究發現,這些幻覺名稱 不是隨機的——同一型號的 LLM 面對同一提示詞,有很高的機率會幻想出相同的名稱。
更驚人的是,這些幻覺名稱還具有 跨模型可轉移性:對 Gemini 有效的幻覺名稱,對 GPT 和 Claude 也可能同樣有效。
第 3 步:搶先註冊
攻擊者在 GitHub、npm、PyPI 或 AI 插件市集上註冊這些幻覺名稱。例如如果 LLM 幻想了一個叫 librepods 的套件,攻擊者就在 PyPI 上搶先註冊 librepods 這個名稱。
第 4 步:植入惡意程式
在被搶註的資源中隱藏惡意提示詞(Promptware)。當使用者叫 AI 助理去安裝或下載那個不存在的專案時,AI 因為幻覺而指向了攻擊者的資源,惡意軟體就這麼堂而皇之地進入了使用者的系統。
9 大主流 AI 工具皆可被利用
研究團隊測試了市面上主流的 AI 編程工具和助手,發現 9 款工具全部都能被 HalluSquatting 利用:
| 工具 | 測試結果 |
|---|---|
| ChatGPT (GPT-4o / GPT-5.6) | ✅ 可被利用 |
| Claude (Sonnet / Fable 5) | ✅ 可被利用 |
| Gemini 2.5 Pro | ✅ 可被利用 |
| GitHub Copilot | ✅ 可被利用 |
| Cursor | ✅ 可被利用 |
| Codex | ✅ 可被利用 |
| Windsurf | ✅ 可被利用 |
| DeepSeek Coder | ✅ 可被利用 |
| Qwen Coder | ✅ 可被利用 |
這意味著 無論你用的是哪家的 AI 編程工具,都暴露在 HalluSquatting 的威脅之下。
Agentic Botnet:新型態的殭屍網路
傳統的殭屍網路(例如著名的 Mirai)需要透過系統漏洞、弱密碼或惡意郵件來橫向擴散。而 Agentic Botnet(智能代理殭屍網路) 的擴散方式截然不同:
傳統 Botnet vs Agentic Botnet
| 面向 | 傳統 Botnet | Agentic Botnet |
|---|---|---|
| 傳播方式 | 漏洞掃描 + 暴力破解 | AI 代理自動拉取惡意資源 |
| 感染速度 | 相對較慢 | 可在數小時內大規模擴散 |
| 所需權限 | 需要作業系統漏洞 | 只需 AI 工具能上網 |
| 檢測難度 | 較容易(行為特徵明顯) | 極難(行為看似正常) |
| 主要目標 | IoT 設備、伺服器 | 開發者工作站、企業 AI 系統 |
研究團隊在論文中展示了:一個攻擊者只需註冊幾個虛構的套件名稱,就能讓數千個使用 AI 編程工具的開發者不知不覺中安裝惡意軟體。這些被感染的設備會形成一個龐大的 Agentic Botnet,可用於 DDoS 攻擊、加密貨幣挖礦、或進一步滲透企業內部網路。
為什麼 AI 特別容易中招?
這一切的根源在於 LLM 的一個核心設計特徵:它無法說「我不知道」。
傳統的程式在遇到找不到的資源時會回報錯誤,但 LLM 會基於機率分布「猜」一個答案。研究團隊發現,這種猜測不是隨機的,而是具有 規律性和可預測性:
- 同一模型面對同一問題:會幻想出相同的名稱(一致性高)
- 不同模型面對同一問題:也可能幻想出相似的名稱(可轉移性)
- 不同提示措辭面對同一專案:仍可能指向相同的幻覺名稱(提示詞魯棒性)
這三種特性加在一起,讓攻擊者可以 系統化地預測和利用 LLM 的幻覺。
如何防禦?
研究團隊提出了幾項防禦建議:
短期防護
- 連結驗證:AI 工具在拉取外部資源前,應先驗證該資源是否真實存在
- 來源信任評級:對從幻覺中產生的資源名稱,給予較低的信任評級
- 沙盒執行:AI 代理下載的程式碼應在隔離環境中先執行安全檢查
長期解決方案
- 架構改進:讓 LLM 在遇到未知資訊時能明確說「我不知道」
- 資料庫查詢優先:AI 在輸出資源名稱前先查詢真實的套件資料庫
- 社群合作:套件管理平台(PyPI、npm)與 AI 公司合作,即時標記可疑註冊
結語
HalluSquatting 的發現,標誌著 AI 安全威脅從「被動防禦」進入了「利用 AI 自身弱點主動攻擊」的新時代。隨著 AI 編程工具在日常開發中的使用越來越普及,開發者必須意識到:這些工具帶來便利的同時,也開啟了全新的攻擊向面。
對於企業來說,建立 AI 工具使用規範、加強供應鏈安全審查,將不再是選項,而是必要措施。
原始來源:Ars Technica - Hackers can use 9 of the most popular AI tools to assemble massive botnets | arXiv - Beware of Agentic Botnets
無程式碼也能輕鬆打造專業LINE官方帳號!一鍵導入模板,讓AI助你行銷加分!