HalluSquatting 新型攻擊曝光!駭客利用 AI 幻覺打造巨型殭屍網路,9 大 AI 工具全中招

站主自己的課程,請大家支持
無程式碼也能輕鬆打造專業LINE官方帳號!一鍵導入模板,讓AI助你行銷加分! 無程式碼也能輕鬆打造專業LINE官方帳號!一鍵導入模板,讓AI助你行銷加分!
  • Post by Dennis
  • Jul 12, 2026
post-thumb

2026 年 7 月,資安界迎來了一種前所未有的攻擊手法——HalluSquatting(對抗性幻覺搶註)。由以色列特拉維夫大學(Tel Aviv University)、以色列理工學院(Technion)與 Intuit 的研究團隊共同發現,這種攻擊利用了大型語言模型(LLM)最根本的弱點:它會「幻想」

什麼是 HalluSquatting?

HalluSquatting 的名稱由兩部分組成:Hallucination(幻覺) + Squatting(搶註)

傳統的 Typosquatting(打字搶註)是利用人類打錯字來騙人——例如你本來要下載 requests 套件,但不小心打錯成 reqeusts,就被騙去下載惡意版本。

HalluSquatting 則是完全不同的層次——它不利用人類的錯誤,而是利用 AI 本身的幻覺。當你叫 AI 助理去獲取一個最新發布的資源(例如一個昨天才在 GitHub 上爆紅的專案),而這個資源不在 AI 的訓練資料中時,AI 不會誠實說「我不知道」,而是會「猜」一個看起來合理的名稱。

駭客的工作就是:預測 AI 會幻想出什麼名稱,然後搶先註冊它。

攻擊四部曲

研究團隊完整還原了 HalluSquatting 的攻擊流程:

graph LR A[監控趨勢] --> B[模擬探測] B --> C[搶先註冊] C --> D[植入惡意] D --> E[AI 代理拉取陷阱] E --> F[Agentic Botnet 擴散]

第 1 步:監控趨勢

攻擊者密切關注 GitHub 每日/每週熱門儲存庫、Hacker News、Reddit 等平台,尋找最新發布但影響力極高的專案。關鍵是:這些專案太新了,LLM 的訓練資料中還沒有它們。

第 2 步:模擬探測(Oracle Probing)

攻擊者反覆向目標 AI 模型(如 GPT、Claude、Gemini)發出相同的提示詞,例如「下載 [趨勢專案] 並安裝」,統計 LLM 每次會幻想出什麼名稱。研究發現,這些幻覺名稱 不是隨機的——同一型號的 LLM 面對同一提示詞,有很高的機率會幻想出相同的名稱。

更驚人的是,這些幻覺名稱還具有 跨模型可轉移性:對 Gemini 有效的幻覺名稱,對 GPT 和 Claude 也可能同樣有效。

第 3 步:搶先註冊

攻擊者在 GitHub、npm、PyPI 或 AI 插件市集上註冊這些幻覺名稱。例如如果 LLM 幻想了一個叫 librepods 的套件,攻擊者就在 PyPI 上搶先註冊 librepods 這個名稱。

第 4 步:植入惡意程式

在被搶註的資源中隱藏惡意提示詞(Promptware)。當使用者叫 AI 助理去安裝或下載那個不存在的專案時,AI 因為幻覺而指向了攻擊者的資源,惡意軟體就這麼堂而皇之地進入了使用者的系統

9 大主流 AI 工具皆可被利用

研究團隊測試了市面上主流的 AI 編程工具和助手,發現 9 款工具全部都能被 HalluSquatting 利用

工具測試結果
ChatGPT (GPT-4o / GPT-5.6)✅ 可被利用
Claude (Sonnet / Fable 5)✅ 可被利用
Gemini 2.5 Pro✅ 可被利用
GitHub Copilot✅ 可被利用
Cursor✅ 可被利用
Codex✅ 可被利用
Windsurf✅ 可被利用
DeepSeek Coder✅ 可被利用
Qwen Coder✅ 可被利用

這意味著 無論你用的是哪家的 AI 編程工具,都暴露在 HalluSquatting 的威脅之下

Agentic Botnet:新型態的殭屍網路

傳統的殭屍網路(例如著名的 Mirai)需要透過系統漏洞、弱密碼或惡意郵件來橫向擴散。而 Agentic Botnet(智能代理殭屍網路) 的擴散方式截然不同:

傳統 Botnet vs Agentic Botnet

面向傳統 BotnetAgentic Botnet
傳播方式漏洞掃描 + 暴力破解AI 代理自動拉取惡意資源
感染速度相對較慢可在數小時內大規模擴散
所需權限需要作業系統漏洞只需 AI 工具能上網
檢測難度較容易(行為特徵明顯)極難(行為看似正常)
主要目標IoT 設備、伺服器開發者工作站、企業 AI 系統

研究團隊在論文中展示了:一個攻擊者只需註冊幾個虛構的套件名稱,就能讓數千個使用 AI 編程工具的開發者不知不覺中安裝惡意軟體。這些被感染的設備會形成一個龐大的 Agentic Botnet,可用於 DDoS 攻擊、加密貨幣挖礦、或進一步滲透企業內部網路。

為什麼 AI 特別容易中招?

這一切的根源在於 LLM 的一個核心設計特徵:它無法說「我不知道」

傳統的程式在遇到找不到的資源時會回報錯誤,但 LLM 會基於機率分布「猜」一個答案。研究團隊發現,這種猜測不是隨機的,而是具有 規律性和可預測性

  • 同一模型面對同一問題:會幻想出相同的名稱(一致性高)
  • 不同模型面對同一問題:也可能幻想出相似的名稱(可轉移性)
  • 不同提示措辭面對同一專案:仍可能指向相同的幻覺名稱(提示詞魯棒性)

這三種特性加在一起,讓攻擊者可以 系統化地預測和利用 LLM 的幻覺

如何防禦?

研究團隊提出了幾項防禦建議:

短期防護

  1. 連結驗證:AI 工具在拉取外部資源前,應先驗證該資源是否真實存在
  2. 來源信任評級:對從幻覺中產生的資源名稱,給予較低的信任評級
  3. 沙盒執行:AI 代理下載的程式碼應在隔離環境中先執行安全檢查

長期解決方案

  1. 架構改進:讓 LLM 在遇到未知資訊時能明確說「我不知道」
  2. 資料庫查詢優先:AI 在輸出資源名稱前先查詢真實的套件資料庫
  3. 社群合作:套件管理平台(PyPI、npm)與 AI 公司合作,即時標記可疑註冊

結語

HalluSquatting 的發現,標誌著 AI 安全威脅從「被動防禦」進入了「利用 AI 自身弱點主動攻擊」的新時代。隨著 AI 編程工具在日常開發中的使用越來越普及,開發者必須意識到:這些工具帶來便利的同時,也開啟了全新的攻擊向面。

對於企業來說,建立 AI 工具使用規範、加強供應鏈安全審查,將不再是選項,而是必要措施。

原始來源Ars Technica - Hackers can use 9 of the most popular AI tools to assemble massive botnets | arXiv - Beware of Agentic Botnets

TAG