Обычная ошибка ИИ превращается в оружие — как хакеры научились массово заражать компьютеры через помощников по программированию

Обычная ошибка ИИ превращается в оружие — как хакеры научились массово заражать компьютеры через помощников по программированию

изображение: grok

Специалисты из Тель-Авивского университета, Техниона и Intuit описали технику HalluSquatting, при которой злоумышленник заранее регистрирует те адреса репозиториев, что чаще всего выдумывают языковые модели, и подкладывает туда вредоносный код. ИИ-помощник по ошибке скачивает содержимое и запускает его через терминал с правами пользователя. Один поддельный репозиторий заражает сотни машин одновременно, а среди последствий — ботнеты, DDoS, шифровальщики и скрытый майнинг на устройствах жертв.

Проблема бьёт и по российским разработчикам напрямую. Cursor, GitHub Copilot, Gemini CLI, Windsurf и Cline активно применяются в отечественных командах, часть из них работает через VPN или посреднические сервисы, а корпоративная политика проверки внешних зависимостей во многих компаниях РФ пока хромает. Заражённая машина разработчика в Москве или Новосибирске уходит в чужой ботнет так же тихо, как машина в Сан-Франциско.

Механизм атаки строится на слабости, которую разработчики LLM пока закрыть не сумели. Модель не отличает реальную команду пользователя от вредоносной инструкции, спрятанной в письме, README или исходнике. Раньше злоумышленнику приходилось доставлять полезную нагрузку каждой жертве отдельно — писать письма, подсовывать документы, рассылать календарные приглашения. Метод категории push плохо масштабировался, а метод pull, когда вредонос ждёт обращения на публичном ресурсе, страдал от того, что заранее собрать трафик к одной ловушке почти нереально.

HalluSquatting ломает эту логику. Атакующий эксплуатирует склонность модели «галлюцинировать» — придумывать несуществующие адреса библиотек и репозиториев, когда её просят подтянуть свежий проект.

Интересно, что старые проекты до 2019 года почти не вызывают выдуманных ссылок — средний показатель ошибок составил около 0,9%. А вот для проектов 2025 года средний уровень галлюцинаций достиг 92,4%.

Уязвимыми оказались девять популярных инструментов, среди них — Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw и NanoClaw. Все они регулярно подтягивают код и компоненты из сторонних реестров, часть из них имеет прямой выход на терминал разработчика.

Сама схема атаки выглядит так:

  • злоумышленник прогоняет через модели тысячи запросов на клонирование недавних проектов, собирая частые ошибки;
  • выделяет повторяющиеся выдуманные адреса, где имя владельца совпадает с именем репозитория;
  • регистрирует эти адреса на GitHub, npm, PyPI или в другом реестре;
  • кладёт внутрь README или код с инструкцией по установке обратной оболочки;
  • ждёт, пока разработчики по всему миру попросят своего ИИ-помощника скачать «нужный» проект.

Дальше срабатывает автоматика. Помощник видит адрес, обращается к нему без лишних вопросов, скачивает и запускает содержимое через встроенный терминал от имени пользователя.

Тесты проводились на моделях Gemini 2.5 Flash, Gemini 2.5 Pro, GPT-5.1, GPT-5.2, Sonnet 4.5 и Opus 4.5. Все шесть систем вели себя одинаково — при просьбе подтянуть свежий репозиторий сочиняли адрес вместо честного ответа «не знаю». Для популярных новых проектов доля ошибок доходит до 85%, а при работе со «скиллами» — специальными наборами инструкций для агентов — цифра поднимается до 100%.

Стоит обратить внимание на то, что модели чаще всего повторяют один шаблон, где имя репозитория одновременно становится именем владельца. Хакеру достаточно предугадать несколько десятков таких вариантов, чтобы построить работающую ловушку на тысячи жертв.

Технический директор компании Zenity Майкл Баргури заявил, что угроза выглядит абсолютно реальной, а сам механизм напоминает развитие тайпсквоттинга, ставшего за последние годы одним из распространённых способов атак на разработчиков, отметил Баргури. Независимый исследователь Йоханн Ребергер, комментируя работу, назвал самой сильной частью методику прогноза придуманных названий, ведь возможность угадать, что именно сочинит модель, переводит атаку из теории в практику, добавил Ребергер.

Термин «сквоттинг» отсылает к старой практике тайпсквоттинга. Тогда, ещё в 2016 году, вредоносный код из поддельных пакетов PyPI, RubyGems и NPM отработал более 45 тысяч раз на более чем 17 тысячах доменов, причём часть процессов получила административные права. HalluSquatting выводит идею на новый уровень — жертва даже не ошибается в написании, за неё ошибается ИИ.

Для российских компаний последствия могут оказаться болезненными сразу по нескольким причинам:

  • значительная доля разработки в РФ ведётся через ИИ-помощников западного происхождения, обновлять и проверять их некому;
  • корпоративные прокси часто пропускают трафик к GitHub и npm без глубокой инспекции содержимого;
  • заражённая машина разработчика открывает злоумышленнику путь во внутренние репозитории компании;
  • цепочка поставок ПО в РФ уже находится под давлением после ухода ряда западных вендоров, а новые внешние зависимости появляются быстрее, чем успевают проходить аудит;
  • вымогатели и криптомайнеры — самые вероятные полезные нагрузки, а обе категории уже нанесли ощутимый урон отечественному бизнесу за 2024–2025 годы.

Меры защиты пока сводятся к ручной работе. Разработчику придётся проверять происхождение каждого пакета и каждого репозитория, который предлагает подтянуть его ИИ-помощник, а корпоративная служба безопасности должна ограничивать список разрешённых источников. Автоматических инструментов, надёжно ловящих HalluSquatting, на рынке пока нет.

Простые правила гигиены, которых стоит держаться прямо сейчас:

  • отключить у ИИ-помощника автоматическое исполнение команд из терминала;
  • заносить в белый список только проверенные источники пакетов;
  • вручную сверять URL репозитория с официальной страницей проекта;
  • держать отдельного пользователя с минимальными правами для запуска агентов;
  • вести журнал всех внешних загрузок, инициированных ИИ-инструментами.

Ранее сообщалось, что исследователи обратили внимание на новую категорию рисков, возникающих при длительном взаимодействии пользователей с генеративными моделями искусственного интеллекта. По их данным, чат-боты постепенно адаптируются к особенностям общения человека, усиливают его существующие взгляды и эмоциональные реакции, оказывая незаметное влияние на поведение. Специалисты отмечали, что подобные эффекты связаны не с уязвимостями или взломами, а с принципами работы самих систем, ориентированных на удержание внимания и поддержание длительного общения.

Редакция CISOCLUB считает публикацию исследования по HalluSquatting важным звонком для всей отрасли. Мы видим, как быстро экосистема ИИ-помощников по программированию проникла в российские разработческие команды, и уровень доверия к таким инструментам сегодня явно выше, чем реальный уровень их защищённости. Российским компаниям пора пересматривать политики работы с внешними зависимостями и вводить обязательный аудит любых пакетов, которые предлагает загрузить ИИ. Отдельная задача — обучение разработчиков, ведь пока привычка слепо соглашаться на подсказку помощника сильнее, чем культура проверки источника.

Мы ожидаем волну реальных атак по этой схеме уже в ближайшие месяцы и рекомендуем службам ИБ заранее готовить сценарии реагирования. Игнорировать HalluSquatting — значит отдавать хакерам целый класс новых точек входа во внутреннюю сеть компании.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: