Fantomcsapdák a fejlesztői rendszerekben: zombihálózatot építenek a hallucináló mesterséges intelligenciával

HalluSquatting

Kibertámadók új módszerrel fordítják a legnépszerűbb mesterséges intelligencia alapú kódolóasszisztenseket a fejlesztők ellen, kiterjedt botnet hálózatokat hozva létre.

A biztonsági kutatók által felfedezett HalluSquatting nevű sebezhetőség rávilágít arra, hogy a nagy nyelvi modellek (LLM-ek) egyik legnagyobb gyengesége, a hallucináció, közvetlen kiberbiztonsági fegyverré alakítható. Amikor a fejlesztők egy nem létező szoftvercsomag vagy komponens letöltésére kérik az AI-eszközt, az ahelyett, hogy nemet mondana, egy valóságosnak tűnő, de kitalált nevet generál. A hackerek előre feltérképezik ezeket a tipikus tévesztési mintákat, és a kitalált azonosítókkal regisztrálnak rosszindulatú kódokat tartalmazó csomagokat a nyilvános tárolókban. Az AI-asszisztens így gyanútlanul a támadók csapdájába navigálja a felhasználót, és automatikusan letölti a kártevőt.

Kibervédelmi káosz a kódolói asszisztenseknél

A hagyományos prompt injection támadásokkal szemben a HalluSquatting nem egyetlen célszemély ellen irányul, hanem globális méretű fertőzési hullámot indíthat el. A támadók passzív megfigyeléssel térképezik fel az AI modellek belső logikáját, majd a háttérben előkészített infrastruktúrával várják, hogy az automatizált fejlesztői eszközök maguktól letöltsék a rosszindulatú parancsokat futtató hátulról nyíló ajtókat (reverse shell). Mivel a kódolóasszisztensek gyakran emelt szintű jogosultságokkal futnak a vállalati hálózatokban vagy a CI/CD build környezetekben, a fertőzött gépek azonnal egy távolról vezérelt zombihálózat, vagyis botnet részévé válnak, amelyeket később pusztító DDoS-támadásokhoz vagy zsarolóvírus-kampányokhoz használhatnak fel.

A kutatások szerint összesen kilenc piacvezető AI-kódolóeszköz bizonyult sebezhetőnek ezzel a módszerrel szemben. A veszélyeztetett rendszerek listáján olyan széles körben használt alkalmazások találhatók, mint a Cursor, a Gemini CLI, a Windsurf, a GitHub Copilot és a Cline. A sebezhetőség kritikus jellege abban rejlik, hogy teljesen megkerüli a hagyományos, hírnév-alapú URL-védelmi rendszereket, mivel a gyanútlan fejlesztő környezete egy teljesen frissen regisztrált, nulla negatív előtörténettel rendelkező forrásból hívja le a fertőzött csomagot.

Érintett AI-eszközök Támadási vektor neve Kiváltó ok Végkifejlet
Cursor, Gemini CLI, Windsurf, GitHub Copilot, Cline stb. HalluSquatting LLM hallucináció és ellenőrizetlen letöltés Botnet integráció, DDoS kockázat

A kódellenőrzés visszanyal

A mesterséges intelligenciára épülő asszisztensek térnyerésével a fejlesztők egyre inkább automatizálják a mindennapi folyamatokat, ám pont ez a feltétlen bizalom válik a legnagyobb kockázati tényezővé. Amíg egy emberi programozó gyanút fogna egy nem létező könyvtár láttán, addig az autonóm üzemmódra kapcsolt kódolóágensek vakon végrehajtják a hallucinált utasításokat. Ez a trend alapjaiban alakítja át a szoftveres ellátási láncok elleni támadások dinamikáját.

A védekezés érdekében a fejlesztőcégeknek szigorúbban kell ellenőrizniük az AI által generált külső hivatkozásokat és csomagneveket. Ameddig a nagy nyelvi modellek fejlesztői nem építenek be hatékony fékeket a nem létező erőforrások kitalálása ellen, a fejlesztői gépek tálcán kínálják magukat a globális botnet-hálózatok toborzói számára.