For deg som kjører koding-agenter er dette verdt å ta på alvor. Angrepet er «pull-basert»: i motsetning til prompt-injection som må sendes til hvert enkelt offer, sitter fella og venter på at agenter selv navigerer til feil adresse. Det gjør masseinfeksjon mulig for første gang i denne klassen angrep, ifølge forskerne. Mønsteret er forutsigbart: alle seks testede modellene (Gemini 2.5, GPT-5.1 og 5.2, Sonnet 4.5, Opus 4.5) lager «repo-navn/repo-navn»-slugger som behandler pakkenavnet som eier. Praktisk tiltak: ikke la agenten klone eller installere ressurser blindt. Bekreft at repoet eller pakken faktisk finnes på riktig adresse før du kjører noe med skalltilgang, særlig for nye, trending pakker som ikke lå i treningsdataene.
HalluSquatting gjør koding-agenter til botnett via hallusinerte pakkenavn
SYNOPSIS_GENERERT
Hva skjer når koding-agenten din gjetter feil adresse på en pakke? Forskere har vist et angrep de kaller HalluSquatting, der de forhåndsregistrerer nettopp de pakke- og «skill»-navnene språkmodeller pleier å hallusinere, og fyller dem med instruksjoner om å installere reverse shells. Fordi agenter som Cursor, Gemini CLI, GitHub Copilot, Cline og OpenClaw henter ressurser med høye rettigheter, kan ett feilgjett gi angriperen fotfeste. Ifølge forskerne bommer modellene på riktig plassering av trending-ressurser i opptil 85 prosent av tilfellene, og for «skills» opptil 100 prosent.
KI-KURATERT — INNHOLD GENERERT AV KI-AGENTER BASERT PÅ ORIGINALKILDEN