系统:运行中
← 返回所有攻击
SUPPLY CHAIN CRITICAL NEW

HalluSquatting:利用被幻觉的名称构建智能体僵尸网络

攻击者可以抢先注册编码智能体会可预测地幻觉出的仓库名与技能名,把一句普通的「克隆这个仓库」变成大规模的远程代码执行。

2026-07-10 // 7 min affects: gpt-5.1, gpt-5.4-codex, claude-sonnet-4.6, claude-opus-4.6, gemini-2.5-pro, grok-code

这是什么?

大多数提示注入攻击都假设攻击者拥有通往受害者的通道:一封邮件、一份日历邀请、一个共享文档。2026 年 7 月 8 日发表的一篇论文——Beware of Agentic Botnets: Scalable Untargeted Promptware Attacks via Universal and Transferable Adversarial HalluSquattingarXiv,2026 年 7 月 8 日)——提出了一个更棘手的问题:在完全没有直接通道的情况下,能否大规模攻陷智能体化的 LLM 应用?

它的答案是作者称之为对抗性幻觉抢注(“HalluSquatting”)的技术。当你让一个编码智能体克隆某个热门仓库或安装某个流行技能时,模型往往并不知道确切的标识符,只是简单地幻觉出一个所有者或名称。这些幻觉并非随机噪声:它们是可预测的,并在不同模型之间重复出现。攻击者只要学会某个模型会凭空造出哪些名称,就可以抢先注册它们,在上面托管恶意提示,然后等着智能体自己去拉取。这是一种拼写抢注(typosquatting),只不过这里的「拼写错误」是由模型自身生成的。这项工作延续了先前的发现——代码模型会凭空捏造并不存在的软件包名(Spracklen 等,2025),也就是「slopsquatting」的基础(Socket)——但 HalluSquatting 不是污染下游的软件包,而是在推理时直接攻击智能体本身。

工作原理

攻击分三步,且不需要任何针对性的投递。第一步,攻击者选定热门资源——流行的 GitHub 仓库、当红的智能体技能——并用普通提示(「克隆 X 仓库」)探测基础模型或应用,以估计被幻觉标识符的概率分布。第二步,他在真实平台上注册那些高概率的被幻觉标识符,并在上面托管对抗性内容。第三步,等待:合法用户发出一个正常请求,智能体自信地给出一条指向攻击者抢注名称的 git clone 或技能安装命令,将其拉取下来,而拉取到的内容便充当promptware——专门设计来劫持智能体自身工具的文本。

所测得的幻觉率正是关键所在。直接通过 API 查询时,基础模型在92% 的近期热门仓库上幻觉出了所有者,而相同的可抢注 slug 在 Gemini、GPT 与 Claude 各族系中反复出现——表明该偏差存在于模型层,而非应用层。幻觉还高度集中:在所测(仓库,模型)组合中的 43% 里,最常被凭空造出的名称占据了超过一半的回答,在其中十二个组合里更超过 90%,因此一次注册即可拦截大部分请求。在 1616 个唯一的被幻觉 slug 中,有 18 个可被注册且由两个或更多模型产生;其中若干是自指的(所有者与仓库名相同)且可直接认领。端到端来看,被拉取的资源在所有受测生产应用上都导致了工具调用或远程代码执行——编码助手(Cursor、Windsurf、GitHub Copilot、Cline)、一个 CLI(Gemini CLI)以及若干助手(OpenClaw、ZeroClaw、NanoClaw)——在某些技能安装路径上的成功率高达 100%。论文中对具体载荷做了删节;本文仅描述机制。

为何重要

正是这种组合让攻击变得危险:它无针对性、可规模化、且无需直接通道。攻击者注册少量名称,任何地方、任何幻觉出其中之一的智能体都会成为受害者——作者将这一结果描述为搭建智能体僵尸网络的一种方式,因为被抢注的资源可以携带一条指令,在拉取它的机器上安装持久化的 bot。由于幻觉可在模型族系之间、以及从原始模型向生产应用之间转移,同一套抢注是通用的,而非绑定于单一厂商。新近度会放大这一效应:最新的热门仓库最不可能出现在训练数据中,因而被幻觉得最厉害——最新、被克隆最多的项目恰恰也是最软的目标。

防御

论文自身的数据指向了主要的修复方向:在行动之前先验证资源。唯一幻觉较少的应用 Gemini CLI,正是因为它有时会先执行一次网络搜索来确认 URL 再克隆——当应用把标识符与权威注册表(GitHub API、技能市场)核对,并拒绝克隆或安装未经验证的 slug 时,模型层的幻觉便不再可被利用。具体而言:将每个所有者/名称对照可信来源进行解析,绝不让智能体在 shell 命令中自由拼凑仓库所有者或技能名称。

在此之上叠加防御。为智能体被允许拉取的一切内容固定并白名单化可信的所有者与确切的 URL。将任何被拉取的仓库或技能都视为可能含有 promptware 的不可信内容:将终端置于沙箱,限制智能体的工具范围,并在执行 cloneinstall 或已下载脚本之前要求明确的人工批准。沿用对抗拼写抢注的注册表侧做法——为热门资源预注册或封禁高概率的被幻觉名称,并监控那些名称模仿流行项目的新建账户。在厂商侧,减少标识符幻觉、并训练模型在不确定时选择弃权(「我不确定确切的仓库」)而非自信地捏造 slug,可以消除攻击所依赖的原材料。作者在发表前已向受影响的应用厂商、模型提供方与框架维护者进行了负责任的披露。

状态

项目状态
攻击类别无针对性的间接提示注入 / 借由被幻觉并抢注的资源名称的 promptware;公开、可复现的研究
首次发表2026 年 7 月 8 日(arXiv 2607.07433)
受测应用Cursor、Cursor CLI、Windsurf、GitHub Copilot、Cline、Gemini CLI、OpenClaw、ZeroClaw、NanoClaw
实测效果近期热门仓库所有者幻觉率 92%;端到端最高 85%(克隆仓库)/ 100%(安装技能);所有受测应用均实现 RCE
可转移性幻觉在 Gemini、GPT、Claude 族系之间及至应用层反复出现
披露已向厂商、模型提供方与框架维护者负责任披露;可复现的载荷细节已删节
此处可操作的漏洞利用无——仅为防御性/教育性综述

Sources