7月10日消息,科技媒体Tom's Hardware近日发布博文,揭露了一种名为HalluSquatting的AI安全新漏洞。该漏洞的核心机制是放大AI模型在工具调用过程中的“幻觉”现象——模型会将不存在的或错误的代码仓库地址错误地识别为真实地址来使用。

先简要说明AI幻觉的概念:它是指AI模型输出不正确或具有误导性结果的现象。这类错误通常源于训练数据不足、模型产生不合理假设,或训练数据本身存在偏差。
这项研究由特拉维夫大学、以色列理工学院和Intuit的研究人员联合开展。他们发现,智能体AI在遇到陌生的项目、代码仓库或工具名称时,会自动“脑补”出看似合理但实际上错误的地址。
举例来说:假设一个新仓库的真实地址为OriginalOwner/WindowsTelemetryOff,但模型训练数据未包含此较新项目,它便可能生成诸如SuperHacker/WindowsTelemetryOff、WindowsTelemetryOff/WindowsTelemetryOff等含有拼写错误或近似变体的地址。
研究指出,当Claude等代码智能体收到“运行windowstelemetryoff脚本”的指令后,模型可能直接“幻觉”出一个仓库名称,甚至在执行网页搜索后仍会访问恶意版本,并进一步运行其中的代码。
一旦恶意代码在用户设备上执行,可能引发反向shell、数据与密码窃取、软件安装、加密货币挖矿等严重后果,甚至控制智能体继续执行后续操作,威胁直接且严峻。
量化数据进一步凸显了问题的严重性:模型对近期代码仓库位置的幻觉率最高达85%,对热门智能体技能则可达100%。2025年发布的样本GitHub仓库名称平均幻觉率为92.4%;而2019年或更早发布的仓库,地址错误率仅为0.9%。这背后反映的是时间差造成的信息鸿沟。
在应用层面的攻击成功率也存在明显分化。Cursor、Gemini CLI和Copilot的成功率在20%至35%之间,而OpenClaw及其变体则接近80%至100%。
参考文献
Scalable Untargeted Promptware Attacks via Universal and Transferable Adversarial HalluSquatting
