7 月 9 日,科技媒体 Tom’s Hardware 报道了一种名为“HalluSquatting”的新型 AI 安全漏洞。该漏洞由特拉维夫大学、以色列理工学院及 Intuit 的研究人员共同披露,主要针对 AI 智能体在调用外部工具时的“幻觉”缺陷。
该漏洞的核心机制在于:当 AI 模型遇到陌生的项目、仓库或工具名称时,可能会根据概率预测自行补全出一个看似合理但实际不存在的仓库地址。如果攻击者提前预判并注册这些幻觉出的仓库名称,即可诱导 AI 下载并执行恶意代码。例如,用户请求运行“windowstelemetryoff”脚本,模型可能错误地将其幻觉为“SuperHacker/WindowsTelemetryOff”等带有恶意代码的变体地址。
研究数据显示,对于 2025 年发布的样本 GitHub 仓库名称,模型的平均幻觉率高达 92.4%,而 2019 年的老旧仓库错误率仅为 0.9%。在攻击成功率方面,不同应用表现分化,Cursor、Gemini CLI 和 Copilot 的成功率约为 20%-35%,而 OpenClaw 及其变体在特定场景下最高可达 80%-100%。一旦恶意代码被执行,攻击者可发起反向 shell、窃取数据与密码、植入挖矿软件或控制智能体执行后续操作。
事件分析
💡 核心观点:AI 智能体将概率性“幻觉”直接转化为确定性执行指令是极危险的架构缺陷,AI 工具链需尽快引入严格的代码来源校验机制。
原文链接:Linux.do





