Skip to main content

Uusi HalluSquatting-hyökkäys manipuloi tekoälyagentteja lataamaan haitallisia GitHub-paketteja hyödyntämällä mallien taipumusta hallusinoida tuntemattomia URL-osoitteita.

Tel Avivin yliopiston, Technionin ja Intuitin tutkijat ovat paljastaneet uuden HalluSquatting-hyökkäysvektorin, joka vaarantaa tekoälypohjaiset koodausagentit. Hyökkäys hyödyntää kielimallien taipumusta luoda uskottavan kuuloisia mutta virheellisiä URL-osoitteita, kun ne kohtaavat tuntemattomia tai hiljattain julkaistuja ohjelmistokirjastoja. Tekoälyagentit hallusinoivat oikean koodin sijasta hyökkääjän luoman haitallisen version, mikä johtaa haitallisen koodin luvattomaan suorittamiseen käyttäjän koneella.

Hyökkääjät luovat haitallisia arkistoja ennustettavilla nimistöillä, jotka vastaavat kielimallien tavallisia päättelymalleja. Kun tekoälyagentille annetaan tehtäväksi suorittaa tietty skripti, se saattaa hallusinoida osoitteen, joka johtaa hyökkääjän hallitsemaan repoon. Tutkimus osoittaa, että tekoälymallit hallusinoivat tuoreiden, vuonna 2025 julkaistujen GitHub-repositorioiden sijainnin jopa 92,4 prosentin todennäköisyydellä.

Ongelma koskee laajasti kaikkia nykyisiä tekoälymalleja, mukaan lukien Anthropicin Claude Opus 4.5. Sovellustasolla hyökkäyksen onnistumisprosentti vaihtelee ohjelmistosta riippuen: esimerkiksi Cursorilla ja Copilotilla se on 20–35 prosenttia, kun taas tietyissä OpenClaw-varianttiympäristöissä se voi nousta jopa 100 prosenttiin. Kun tekoälyagentti suorittaa haitallista koodia, hyökkääjä voi avata käänteisen komentotulkin (reverse shell) ja saada täyden hallinnan järjestelmästä.

Puolustautuminen vaatii IT-ammattilaisilta tekoälyagenttien käyttöoikeuksien tiukkaa rajoittamista ja kriittistä suhtautumista niiden automaattisiin toimintoihin. Tehokkain mitigointikeino on muuttaa työnkulkuja siten, että agentit velvoitetaan suorittamaan verkkohaku ennen minkään ohjelmiston asentamista. MSP-ympäristöissä on erityisen tärkeää välttää tekoälybottien valtuuttamista arkaluonteisilla API-avaimilla tai järjestelmätason oikeuksilla.

Tärkeimmät pointit

  • HalluSquatting hyödyntää tekoälyn hallusinaatioita haitallisten URL-osoitteiden generoinnissa
  • Jopa 92,4 % virheprosentti GitHub-repojen tunnistamisessa vuonna 2025 julkaistuissa projekteissa
  • Vaikuttaa kaikkiin suuriin tekoälymalleihin, kuten Claude Opus 4.5
  • Onnistumisprosentti 20–35 % työkaluilla kuten Cursor, Gemini CLI ja Copilot
  • Jopa 80–100 % onnistumisprosentti OpenClaw-ympäristöissä
  • Hyökkäys voi johtaa käänteisen komentotulkin (reverse shell) avaamiseen
  • Mitigointi: pakota tekoälyagentit tekemään verkkohaku ennen koodin suoritusta

Linkit ja lähteet


Lähde: Tomshardware — alkuperäinen artikkeli julkaistu 9.7.2026