AI 编错仓库地址不只是尴尬:攻击者可以提前把那个假地址占下来
韩启明|OC 政策与安全编辑
韩启明|OC 政策与安全编辑
根据研究论文 Beware of Agentic Botnets,来自特拉维夫大学、以色列理工学院和 Intuit 的研究者提出 HalluSquatting:先统计大模型在寻找热门仓库或 Agent 技能时经常编造的资源地址,再抢先注册这些地址,放入可影响 Agent 的恶意内容。实验覆盖 Cursor、GitHub Copilot、Gemini CLI、Windsurf、Cline 与多款开放 Agent。
一句话结论: 以前 AI 编造一个不存在的包名,开发者最多得到安装失败;当 Agent 会自动打开仓库、读取指令并执行命令时,同一次幻觉可能直接变成远程代码执行入口。
软件供应链里早已有 typosquatting:攻击者注册一个和热门软件包只差一个字母的名字,等用户打错。Slopsquatting 则利用模型会推荐不存在的软件包。HalluSquatting 把攻击面继续向 Agent 扩展,目标不只是一行 pip install,还包括仓库 URL、技能目录和工具资源。
攻击者不需要知道具体受害者是谁。他可以围绕刚刚流行、模型训练资料还不充分的新项目反复询问多个模型,找出它们稳定生成的错误名称,抢注相应资源。以后其他用户让 Agent “安装这个热门技能”或“克隆那个新仓库”时,模型可能自己走进陷阱。
85% 和 100% 不是所有请求的现实失误率
论文报告在特定仓库克隆场景中,资源地址幻觉率最高达到 85%;在某些技能安装测试中最高达到 100%。这两个数字描述研究者设计的高风险测试条件和最高结果,不是说 GitHub Copilot 日常给出的仓库地址有 85% 都是假的。
模型、提示词、资源新旧和 Agent 工具链都会改变结果。较早的 USENIX 大规模软件包研究测试 16 个代码模型,平均包幻觉率约 19.6%,商业模型整体低于开源模型。两个研究衡量的对象不同,不能拿来互相替代,但共同说明虚构依赖不是极少发生的边缘问题。

论文更值得注意的是“可迁移性”:不同模型和不同措辞可能重复生成相同错误名称。攻击者因此不必操纵某一次对话,只要占住一个模型家族经常猜出的地址,就可能等待流量自动到来。
从打开网页到控制电脑,中间还有条件
看到假仓库不等于立刻中毒。攻击链要成功,Agent 还必须信任仓库内容、读取其中的提示或配置,并拥有执行命令、安装依赖或访问凭据的权限。现代编码 Agent 为了完成任务,往往正好具备这些能力。
研究者展示的是实验攻击和规模化风险,不代表互联网上已经有同样方式建立的大型 botnet。把“可能形成 Agent botnet”写成“数百万电脑已经被劫持”,同样是在制造另一种幻觉。
防御不能只靠模型别犯错
模型永远可能猜错资源地址,真正的控制点应该放在执行层。Agent 在克隆或安装前,应确认仓库是否来自官方组织、创建时间是否异常、是否有签名和可信发布记录;新出现的相似名称应默认提高风险等级。
更重要的是权限:读取陌生仓库不应自动赋予它执行 shell、修改启动项、读取 SSH 密钥和向外联网的能力。容器或沙箱只能缩小损失,还要限制网络出口、挂载目录和可用凭据。企业内部则可以维护允许列表,让 Agent 从经过审查的镜像或代理下载依赖。
开发者也需要改变一个习惯:模型输出的 URL 不是事实,只是候选字符串。点击前检查组织名和项目主页,和核对 AI 引用的论文是否存在,是同一类工作。
关键事实
- HalluSquatting 利用模型可重复的资源地址幻觉,由攻击者预先注册对应仓库或技能。
- 论文测试了九类流行 Agent/编码工具,并观察到跨模型、跨提示迁移。
- 最高 85% 与 100% 是特定实验场景结果,不能外推为所有日常请求的平均错误率。
- 研究展示攻击可行性,目前不能据此宣称现实中已有大规模 botnet 被建立。
OC 判断
Agent 安全正在从“模型会不会说错话”转向“错误输出能获得多大执行权”。供应商很难保证模型从不编地址,却完全可以让陌生地址不能静默获得高权限。默认执行策略如果没有改变,再低的幻觉率乘上足够多任务,也会变成真实供应链风险。
为什么重要
- 对开发者: AI 给出的包名、仓库和技能地址都要按未经验证的用户输入处理。
- 对企业: 应限制 Agent 的网络、凭据和安装权限,并使用依赖代理与允许列表。
- 对普通用户: 不要因为命令由 AI 自动生成,就跳过来源核对和系统权限提示。
评论
围绕这篇文章补充信息、提出问题或分享观察。