隨著 AI 代理(AI Agents)與 AI 編碼助理的普及,資安專家長期以來一直警告,將系統層級或使用者層級權限賦予具有非確定性輸出的大型語言模型(LLM)具有極高風險。近日,來自臺拉維夫大學(Tel Aviv University)、以色列理工學院(Technion)與 Intuit 的研究人員發表了一項名為「HalluSquatting」(對抗性幻覺搶註)的新型網路攻擊技術,證實了這項擔憂。該攻擊利用 AI 模型在面對不熟悉資訊時會產生「幻覺」的根本弱點,能輕易將現代 AI 助理轉化為大規模的殭屍網路。
與傳統的誤植域名(Typo-squatting)不同,「HalluSquatting」直接針對 AI 的幻覺機制。當 AI 助理遇到不熟悉的術語或近期才出現的工具時,它們往往無法辨識其錯誤,而是會「預測」並幻覺出一個看似正確的答案。由於 AI 生成答案的邏輯高度可預測(例如使用「擁有者 / 儲存庫」或「工具名稱 / 工具名稱」的 GitHub 網址格式),攻擊者便能藉此設下陷阱。
攻擊者會先尋找近期(如幾個月或幾年內)才流行起來的應用程式、程式庫或 GitHub 儲存庫。由於 AI 的訓練資料尚未更新,無法包含這些最新資訊,攻擊者便能預先推測 AI 可能幻覺出的網址組合,並在 GitHub 上註冊這些虛假的儲存庫,將惡意程式碼植入其中。當使用者指示 Claude 或其他 AI 助理「執行該指令碼」時,AI 助理極可能下載並執行這個由攻擊者控制的惡意版本。

一旦惡意程式碼在使用者的電腦上執行,後果將不堪設想。攻擊者可以建立反向 Shell(Reverse Shell)以遠端控制受害者的系統,進而竊取敏感資料與密碼、安裝惡意軟體、執行加密貨幣挖礦程式,甚至利用受害者的 AI 助理進行更大規模的惡意活動。
研究指出,這種攻擊具有極高的擴散性。單一被「搶註」的軟體就有可能在極短時間內誘騙成千上萬個 AI 助理。狡猾的攻擊者甚至會在惡意版本中保留原始的正常程式碼,使使用者與 AI 更難察覺異狀。這項攻擊模型可用於支援大規模殭屍網路、分散式阻斷服務(DDoS)攻擊、勒索軟體部署或更廣泛的開發者工作站入侵。
成功率最高達 100%
研究團隊的測試結果顯示,LLM 幻覺出近期程式庫位置的機率高達 85%,在熱門的 AI 代理技能中甚至可達 100%。這項漏洞普遍存在於所有主流模型中,連 Anthropic 實力強大的 Claude Opus 4.5 也無法倖免。
在具體的開發應用程式層面,雖然有較多上下文資訊輔助,但資安情勢依然嚴峻。在 Cursor、Gemini CLI 和 GitHub Copilot 等工具中,攻擊成功率約為 20% 至 35%;而在 OpenClaw 及其變體上,成功率則飆升至 80% 到 100%。此外,這種攻擊手法具有通用性與可攜性,無需針對特定 AI 助理進行客製化。
數據顯示,針對 2025 年發布的 GitHub 儲存庫範例,AI 助理的平均網址幻覺率高達 92.4%;相較之下,2019 年或更早的儲存庫幻覺率僅為 0.9%。
如何防範 AI 幻覺攻擊?
資安專家建議,最有效的緩解措施是調整工作流程。使用者應明確指示 AI 助理在安裝任何軟體或擷取資源之前,必須先進行網頁搜尋,並為其提供更充足的上下文資訊。然而,這並非目前大多數人的預設使用習慣。
長期以來,資安專業人員一直呼籲不要盲目信任 AI 助理的操作,並應嚴格限制其權限。然而,為了追求開發便利,許多企業仍賦予 AI 助理廣泛的系統權限、API 金鑰及服務帳號。專家警告,若不改變「氛圍編碼」(Vibe Coding)這種盲目信任的態度,HalluSquatting 將成為開發者生態系統中極具威脅的定時炸彈。
(首圖來源:pixabay)






