Nội dung bài viết
“HalluSquatting” vũ khí hóa việc LLM không thể nói “Tôi không biết”. Trong lịch sử ngắn gọn về bảo mật AI, việc tiêm nhắc nhở đã nhanh chóng trở thành mối đe dọa hàng đầu.
Các mô hình ngôn ngữ lớn vốn không thể phân biệt giữa các hướng dẫn hợp pháp do người dùng cung cấp và các hướng dẫn độc hại được đưa vào email, mã nguồn và nội dung khác của bên thứ ba mà các mô hình đang xử lý.
Điều này khiến cho việc lén lút đưa ra các lệnh độc hại mà LLM dễ dàng tuân theo là điều không cần thiết.
Không có cách nào để thực thi ranh giới quan trọng này giữa các nguồn đáng tin cậy và không đáng tin cậy, các nhà phát triển công cụ AI buộc phải dựng lên các rào chắn phức tạp được thiết kế để giảm thiểu thiệt hại thay vì giải quyết nguyên nhân gốc rễ.
Cho đến nay, hầu hết các mũi tiêm nhắc nhở đều thuộc loại được gọi là đẩy, trong đó mỗi nạn nhân tiềm năng đều được nhắm mục tiêu. Ví dụ: kẻ thù chèn các hướng dẫn độc hại vào email hoặc lời mời lịch riêng lẻ.
Do việc tiêm mã độc sau đó phải được gửi (hoặc đẩy) đến từng mục tiêu cụ thể nên quy mô của cuộc tấn công bị hạn chế, cản trở các hoạt động khai thác hàng loạt tấn công Internet trên diện rộng.
Trong khi đó, các cuộc tấn công dựa trên kéo, trong đó LLM tích cực tìm kiếm các lời nhắc nhở của đối thủ được đưa vào các trang web, vẫn còn hạn chế. ted.
Không có cách nào để thu hút số lượng lớn LLM vào một trang web độc hại, các kiểu tấn công này cũng không có quy mô. Giờ đây, các nhà nghiên cứu đã nghĩ ra một cuộc tấn công dựa trên lực kéo để thay đổi tất cả điều đó.
Một cuộc tấn công mới mà các nhà nghiên cứu đặt tên là HalluSquatting có khả năng tập hợp các mạng botnet khổng lồ, thực hiện DDoS quy mô lớn và lây nhiễm các thiết bị trên quy mô lớn, lần đầu tiên dành cho các cuộc tấn công tiêm nhiễm ngay lập tức.
Cuộc tấn công này nhằm vào các trợ lý và tác nhân mã hóa AI, bao gồm Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw và NanoClaw, tất cả đều dễ bị tấn công.
Trong quá trình thực hiện các hoạt động hàng ngày thông thường, các trợ lý và đại lý này thường xuyên lấy mã và các tài nguyên khác từ các kho lưu trữ và cơ quan đăng ký.
Viết tắt của cụm từ ngồi xổm ảo giác đối nghịch, HalluSquatting được xây dựng dựa trên xu hướng cố hữu của LLM là tạo ảo giác cho các mã định danh tài nguyên được lưu trữ trong các kho lưu trữ và cơ quan đăng ký.
Nó hoạt động chống lại các tác nhân và trợ lý mã hóa, thường truy cập các dòng lệnh đặc quyền cao để chạy mã từ tài nguyên của bên thứ ba.
Bằng cách dự đoán các mã định danh, LLM có nhiều khả năng gây ảo giác nhất, sau đó đăng ký và gieo mầm chúng cùng với hướng dẫn cài đặt shell đảo ngược hoặc các phần mềm độc hại khác, cuộc tấn công có thể lây nhiễm bừa bãi số lượng lớn thiết bị mà không cần phải nhắm mục tiêu vào từng thiết bị.
Các nhà nghiên cứu viết trong một bài báo xuất bản hôm thứ Tư: “Thuộc tính có thể mở rộng của cuộc tấn công cho phép kẻ tấn công xâm phạm một số lượng lớn người dùng với nỗ lực tối thiểu bằng cách nhắm mục tiêu vào các tài nguyên phổ biến, từ đó tối đa hóa khả năng lấy lại tài nguyên đã chiếm dụng”.
“Bằng cách khai thác các shell và thiết bị đầu cuối tích hợp của các ứng dụng tác nhân để chạy các tập lệnh và mã, kẻ tấn công có thể ‘lây nhiễm’ nhiều ứng dụng tác nhân độc lập một cách hiệu quả bằng cách nhúng các hướng dẫn để cài đặt các trình bao đảo ngược vào tài nguyên mà kẻ tấn công đăng ký.” Với khả năng kiểm soát các thiết bị phân tán trên quy mô lớn, HalluSquatting có khả năng đạt được nhiều mục tiêu khác nhau mà trước đây không thể thực hiện được bằng cách tiêm nhanh chóng.
Các chiến dịch ransomware lớn và các botnet lớn để sử dụng trong DDoSes hoặc khai thác tiền điện tử là hai ví dụ như vậy.
Phần "ngồi xổm" của tên là cách gọi "đánh máy", trong đó miền, gói kho lưu trữ hoặc mã định danh tài nguyên khác bắt chước gần giống tên của một tên phổ biến với hy vọng thu hút người dùng tiềm năng truy cập hoặc cài đặt nó.
Typosquatting lần đầu tiên thu hút được sự chú ý rộng rãi vào năm 2016 khi một sinh viên đại học tải 214 gói bị bẫy lên kho PyPI, RubyGems và NPM gần giống tên của các gói hợp pháp.
Kết quả: Mã mạo danh đã được thực thi hơn 45.000 lần trên hơn 17.000 tên miền riêng biệt và hơn một nửa được trao toàn quyền quản trị. Các cuộc tấn công đánh máy đã phát triển mạnh mẽ kể từ đó.
Điểm khởi đầu của HalluSquatting là LLM không có khả năng xác định chính xác vị trí của tài nguyên do người dùng chỉ định. Ví dụ: khi một nhà phát triển hướng dẫn một tác nhân mã hóa sao chép một kho lưu trữ mới phổ biến, LLM sẽ tạo ảo giác về vị trí chính xác của nó lên tới 85% thời gian.
Khi sao chép một “kỹ năng” đang thịnh hành, một dạng hướng dẫn, tập lệnh hoặc tài nguyên cung cấp cho các đặc vụ khả năng chuyên môn và kiến thức chuyên môn về miền, ảo giác có thể xảy ra 100%.
HalluSquatting tập trung vào các tài nguyên đang thịnh hành vì chúng không được đưa vào chương trình đào tạo LLM. Họ cũng nhận được số lượng lớn lượt tải xuống trong một khoảng thời gian ngắn.
Các nhà nghiên cứu cho biết việc LLM không có khả năng cung cấp vị trí chính xác là một lỗ hổng cố hữu phát sinh từ những thành kiến trong đào tạo hoặc từ việc giải thích sai hướng dẫn trong bối cảnh hiện tại.
Điều đó có nghĩa là khi người dùng nhắc trợ lý mã hóa sao chép một kho lưu trữ hoặc kỹ năng—dưới dạng “sao chép tên kho lưu trữ” hoặc “tên kỹ năng cài đặt”—bot thường xuyên điều hướng đến sai vị trí để truy xuất nó.
Những ảo giác này không chỉ không thể tránh khỏi mà còn xảy ra ở cấp độ cơ bản của tất cả sáu LLM chính, bao gồm Gemini-2.5-flash, Gemini-2.5-pro, GPT-5.1, GPT-5.2, Sonnet-4.5 và Opus-4.5.
Ngoài ra, những vị trí không chính xác được cung cấp phổ biến nhất mà các LLM này gây ảo giác rất dễ dự đoán trước. Tất cả sáu LLM đều tuân theo các mẫu chung khi phân giải kho lưu trữ hoặc tên kỹ năng trong lời nhắc với tên chính thức của nó trong kho lưu trữ hoặc kho lưu trữ kỹ năng.
LLM tuân theo các mô hình ảo giác khác nhau. Khai thác HalluSquatting được mô tả là tự tham chiếu.
Tất cả sáu mô hình đều tạo ra các tên kho lưu trữ/tên kho lưu trữ coi tên kho lưu trữ là chủ sở hữu. Việc khai thác mẫu không yêu cầu thăm dò mô hình.
Điều thú vị là LLM giải quyết chính xác các kho lưu trữ được xuất bản trước năm 2019 với tỷ lệ ảo giác trung bình thấp chỉ 0,9%. Cấu trúc LLM tương tự te sên cho các kho lưu trữ được xuất bản vào năm 2025 với tỷ lệ ảo giác trung bình là 92,4%.
Khi kẻ tấn công đã xác định được những cái tên có nhiều khả năng bị ảo giác nhất, chúng sẽ tìm kiếm những cái tên có thể được đăng ký. Sau đó, họ tải lên kho lưu trữ hoặc kỹ năng bắt chước tài nguyên đang thịnh hành.
Được chôn bên trong kho lưu trữ hoặc kỹ năng là văn bản bên trong tệp readme hoặc ở nơi khác. Văn bản chứa hướng dẫn để ứng dụng cài đặt shell đảo ngược trên máy của người dùng LLM.
Ngoài ra, kẻ tấn công có thể chỉ cần thêm mã cần thiết để cài đặt shell. Trong cả hai trường hợp, trợ lý hoặc tác nhân mã hóa sẽ sử dụng quyền truy cập của họ vào các cửa sổ lệnh để tuân thủ.
Các nhà nghiên cứu là: Aya Spira, Elad Feldman, Avishai Wool và Ben Nassi của Đại học Tel Aviv, Stav Cohen của Technion và Ron Bitton của Intuit. Vào thứ Tư, họ đã công bố nghiên cứu của mình ở đây.
Trong bài báo của mình, họ viết: Bằng cách khai thác các shell và thiết bị đầu cuối tích hợp của các ứng dụng tác nhân để chạy các tập lệnh và mã, kẻ tấn công có thể “lây nhiễm” một cách hiệu quả nhiều ứng dụng tác nhân độc lập bằng cách nhúng các hướng dẫn để cài đặt các trình bao đảo ngược vào tài nguyên mà kẻ tấn công đăng ký.
Đạt được quyền truy cập vào các tài nguyên tính toán phân tán theo Sự kiểm soát của kẻ tấn công mở ra cơ hội dẫn đến một số kết quả có tác động cao cho phép kẻ tấn công đạt được nhiều mục tiêu khác nhau.
Ví dụ: khả năng xâm phạm các ứng dụng LLM bằng thiết bị đầu cuối cho phép kẻ tấn công mở rộng số lượng các cuộc tấn công bằng ransomware trên các mạng khác nhau để tối đa hóa lợi ích tài chính.
Ngoài ra, kẻ tấn công có thể tổng hợp các máy bị xâm nhập vào mạng botnet và sử dụng nó cho các tác vụ dựa vào sức mạnh tính toán đáng kể, bao gồm (1) khai thác tiền điện tử quy mô lớn (ví dụ: Smominru, WannaMine) hoặc (2) thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS) chống lại nạn nhân (ví dụ: Mirai).
Gợi ý thực hành:
1. Theo dõi thông báo từ cơ quan địa phương tại California.
2. Kiểm tra nguồn chính thức trước khi chia sẻ lại thông tin.