在AI安全領域發展的短短歷史中,提示詞注入已迅速躍升為頭號威脅。大語言模型在本質上無法區分用戶下達的合法指令,與藏匿於電子郵件、源代碼及其他第三方內容中的惡意指令。這一缺陷使得攻擊者可以悄無聲息地向大語言模型植入惡意命令,而模型會毫不設防地執行這些指令。
由於始終無法在可信來源與不可信來源之間建立有效邊界,AI引擎開發商只能疲於構建複雜的防護機制,試圖減輕危害,而非從根源上解決問題。
目前,大多數提示詞注入攻擊屬於"推送型",即逐一針對每位潛在受害者發起攻擊。例如,攻擊者將惡意指令注入特定用戶的電子郵件或日曆邀請中。由於必須逐一向特定目標推送注入內容,攻擊規模受到限制,難以形成波及整個網際網路的大規模漏洞利用。
與此同時,"拉取型"攻擊雖已存在,但影響範圍同樣有限。這類攻擊依賴大語言模型主動抓取預埋在網站上的惡意提示詞,然而由於缺乏有效手段引誘大量大語言模型訪問惡意站點,此類攻擊同樣無法實現大規模擴散。
如今,研究人員設計出一種拉取型攻擊方式,徹底改變了這一局面。這種被命名為"HalluSquatting"的新型攻擊手法,具備構建大規模殭屍網路、發動大規模DDoS攻擊以及批量感染設備的能力,開創了提示詞注入攻擊的先例。該攻擊可對多款AI編程助手和智能體發起有效攻擊,包括Cursor
、Cursor CLI、Gemini CLI、Windsurf、GitHub Copilot、Cline、OpenClaw、ZeroClaw和NanoClaw,上述工具均存在此漏洞。在日常工作中,這些助手和智能體會頻繁從代碼倉庫和註冊中心拉取代碼及其他資源。
HalluSquatting是"對抗性幻覺搶注"的縮寫,其原理是利用大語言模型在生成資源倉庫和註冊中心中的標識符時,內在的"幻覺"傾向。該攻擊專門針對編程智能體和助手,因為這類工具通常擁有調用高權限命令行的能力,並會從第三方來源獲取代碼執行。攻擊者通過預測大語言模型最可能產生幻覺的標識符,提前搶注這些標識符,並在其中植入安裝反向Shell或其他惡意程式的指令,從而無差別地大規模感染設備,完全無需對每個目標單獨實施攻擊。
研究人員在本周三發布的論文中寫道:"此攻擊的可擴展性使攻擊者能夠以極小的代價,通過鎖定熱門資源來攻陷大量用戶,從而最大化被搶注資源被訪問的概率。攻擊者利用智能體應用集成的Shell和終端執行腳本與代碼,通過在註冊資源中嵌入安裝反向Shell的指令,可有效'感染'數量眾多的獨立智能體應用。"
憑藉大規模控制分布式設備的能力,HalluSquatting有望實現此前提示詞注入攻擊無法達成的多種攻擊目標,包括大規模勒索軟體活動,以及用於DDoS攻擊或加密貨幣挖礦的大型殭屍網路。
攻擊名稱中的"搶注"(Squatting)一詞源自"錯字搶注"(Typosquatting)手法——即通過註冊與知名域名、代碼倉庫包或其他資源標識符高度相似的名稱,誘使用戶誤訪或誤裝。2016年,一名大學生向PyPI、RubyGems和NPM代碼倉庫上傳了214個惡意包,這些包名刻意模仿合法包的名稱,使錯字搶注攻擊首次引發廣泛關注。最終,這些仿冒代碼在超過17,000個獨立域名上被執行逾45,000次,其中超過半數更被賦予了最高管理員權限。此後,錯字搶注攻擊愈演愈烈。
HalluSquatting攻擊的起點,在於大語言模型無法準確定位用戶所指定資源的真實位置。例如,當開發者指示編程智能體克隆某個熱門的新代碼倉庫時,大語言模型產生幻覺、給出錯誤位置的概率高達85%。而在克隆"技能"(Skill)這類為智能體賦予專項能力和領域知識的指令、腳本或資源時,幻覺發生率甚至可達100%。HalluSquatting之所以將目標鎖定在新興熱門資源上,正是因為這類資源尚未被納入大語言模型的訓練數據,同時在短時間內會產生大量下載需求。
Q&A
Q1:HalluSquatting攻擊是什麼原理?
A:HalluSquatting利用大語言模型在識別代碼倉庫或註冊中心中資源標識符時產生"幻覺"的固有缺陷,攻擊者預測模型最可能幻覺出的錯誤標識符,提前搶注這些名稱,並在其中植入安裝反向Shell或其他惡意程式的指令。當AI編程助手或智能體主動拉取資源時,就會在無感知的情況下執行惡意代碼,從而實現大規模設備感染。
Q2:哪些AI編程工具受到HalluSquatting攻擊影響?
A:目前已確認受到影響的工具包括Cursor、Cursor CLI、Gemini CLI、Windsurf、GitHub Copilot、Cline、OpenClaw、ZeroClaw和NanoClaw,共9款主流AI編程助手和智能體。這些工具在日常工作中會頻繁從第三方代碼倉庫和註冊中心拉取代碼及資源,因此存在被HalluSquatting利用的風險。
Q3:HalluSquatting與以往的提示詞注入攻擊有什麼不同?
A:傳統的提示詞注入攻擊多為"推送型",需要逐一向目標發送惡意內容,攻擊規模有限。HalluSquatting則屬於"拉取型"攻擊,無需針對每個用戶單獨操作,而是通過搶注大語言模型高概率幻覺出的資源標識符,讓大量AI工具主動"上鉤",可同時感染海量設備,具備構建殭屍網路、發動DDoS攻擊的潛力,攻擊規模遠超以往。






