AI仓库调用漏洞HalluSquatting披露
IT之家 7 月 10 日消息,仓库科技媒体 Tom's Hardware 于 7 月 9 日发布博文,调用揭示了一种名为 HalluSquatting的漏洞新型 AI 安全漏洞。该漏洞利用大语言模型在调用工具时的披露“幻觉”机制,诱导模型将不存在的仓库或错误的代码仓库地址误认为真实地址并进行访问。
IT之家注:AI 幻觉(AI Hallucination)是调用指 AI 模型生成不正确或具有误导性的结果。其成因复杂,漏洞通常包括训练数据匮乏、披露模型做出错误假设,仓库或训练数据本身存在偏差。调用
这项研究由特拉维夫大学、漏洞以色列理工学院以及 Intuit 的披露研究团队联合发布。研究指出,仓库当智能体 AI 遇到陌生的调用项目、仓库或工具名称时,漏洞可能会基于既有知识自行补全出看似合理但实际错误的地址,从而引发安全风险。

漏洞原理与攻击路径
以仓库 OriginalOwner/WindowsTelemetryOff为例,由于模型训练数据未覆盖该较新项目,模型可能生成以下错误地址:
* SuperHacker/WindowsTelemetryOff
* WindowsTelemetryOff/WindowsTelemetryOff
* 带有拼写误差的近似地址
当 Claude 等代码智能体接收到如“运行 windowstelemetryoff 脚本”的指令时,模型不仅可能直接幻觉出错误的仓库名,甚至在执行网页搜索后,仍可能访问到攻击者控制的恶意版本,并进一步执行其中的代码。
潜在危害
一旦恶意代码在用户设备上成功执行,可能导致以下严重后果:
* 触发反向 Shell(Reverse Shell)
* 窃取数据与密码
* 非法安装软件
* 进行加密货币挖矿
* 攻击者继续控制智能体执行后续恶意操作
量化数据与攻击成功率
研究团队对模型幻觉率进行了量化分析,结果显示:
- 近期仓库幻觉率高:模型对近期代码仓库位置的幻觉率最高可达 85%。
- 热门技能全覆盖:对热门智能体技能的幻觉率可达 100%。
- 时间相关性显著:
- 2025 年发布的样本 GitHub 仓库名称,模型平均幻觉率为 92.4%。
- 2019 年或更早发布的仓库,地址错误率仅为 0.9%。
在应用层测试中,不同 AI 工具的攻击成功率存在明显分化:
* Cursor、Gemini CLI、Copilot:攻击成功率在 20%-35%之间。
* OpenClaw 及其变体:攻击成功率接近 80%-100%。





