Τεχνολογία

Επίθεση HalluSquatting: Χάκερ εκμεταλλεύονται AI εργαλεία για μαζικά botnets

T
Toggle Tech Team
📅 July 12, 2026 ⏱ 4 min read 👁 4 views
Επίθεση HalluSquatting: Χάκερ εκμεταλλεύονται AI εργαλεία για μαζικά botnets

Ερευνητές ανακάλυψαν το HalluSquatting, μια νέα επίθεση prompt injection που αξιοποιεί την τάση παραίσθησης των μεγάλων γλωσσικών μοντέλων, επηρεάζοντας 9 δημοφιλή εργαλεία AI και επιτρέποντας τη δημιουργία μαζικών botnets, επιθέσεων DDoS και ransomware με πρωτοφανή κλίμακα.

Οι χάκερ μπορούν να εκμεταλλευτούν 9 από τα δημοφιλέστερα εργαλεία τεχνητής νοημοσύνης για να δημιουργήσουν μαζικά botnets, σύμφωνα με νέα έρευνα που δημοσιεύθηκε αυτή την εβδομάδα. Η επίθεση, που ονομάζεται HalluSquatting, αξιοποιεί μια θεμελιώδη αδυναμία των μεγάλων γλωσσικών μοντέλων (LLMs): την τάση τους να παραισθάνονται (hallucinate) όταν δεν γνωρίζουν με βεβαιότητα μια απάντηση.

Τι είναι το HalluSquatting

Το HalluSquatting ανήκει στην κατηγορία των επιθέσεων prompt injection και αποτελεί την πρώτη επίθεση τύπου pull που μπορεί να κλιμακωθεί σε μαζικό επίπεδο. Σε αντίθεση με τις παραδοσιακές push επιθέσεις, όπου ο εισβολέας στοχεύει κάθε θύμα ξεχωριστά, το HalluSquatting επιτρέπει στους εισβολείς να μολύνουν μαζικά συσκευές χωρίς να χρειάζεται να στοχεύσουν κάθε μία ξεχωριστά.

Η επίθεση λειτουργεί ως εξής: οι ερευνητές ανακάλυψαν ότι τα LLMs δεν μπορούν να εντοπίσουν με ακρίβεια τη θέση ενός πόρου που καθορίζει ο χρήστης. Όταν ένας προγραμματιστής ζητά από έναν βοηθό κώδικα να κλωνοποιήσει ένα δημοφιλές νέο αποθετήριο, το LLM παραισθάνεται τη σωστή τοποθεσία του έως και στο 85% των περιπτώσεων. Όταν πρόκειται για trending «skills» (ειδικές εντολές ή πόρους που δίνουν στους πράκτορες εξειδικευμένες δυνατότητες), οι παραισθήσεις μπορεί να φτάσουν στο 100%.

Πώς λειτουργεί η επίθεση

Οι ερευνητές, με επικεφαλής την Aya Spira, τον Elad Feldman, τον Avishai Wool και τον Ben Nassi από το Πανεπιστήμιο του Τελ Αβίβ, μαζί με τον Stav Cohen από το Technion και τον Ron Bitton από την Intuit, διαπίστωσαν ότι οι παραισθήσεις αυτές είναι αναπόφευκτες και συμβαίνουν σε θεμελιώδες επίπεδο και στα έξι μεγάλα LLMs, συμπεριλαμβανομένων των Gemini-2.5-flash, Gemini-2.5-pro, GPT-5.1, GPT-5.2, Sonnet-4.5 και Opus-4.5.

Το όνομα HalluSquatting είναι ένας συνδυασμός του hallucination (παραίσθηση) και του typosquatting - της τεχνικής όπου κάποιος καταχωρεί domain names ή πακέτα λογισμικού με ονόματα που μοιάζουν με δημοφιλή, ελπίζοντας να παρασύρει χρήστες. Το typosquatting έγινε γνωστό το 2016, όταν ένας φοιτητής ανέβασε 214 παγιδευμένα πακέτα στα αποθετήρια PyPI, RubyGems και NPM, τα οποία εκτελέστηκαν πάνω από 45.000 φορές.

Ποια εργαλεία επηρεάζονται

Η επίθεση λειτουργεί εναντίον εννέα δημοφιλών βοηθών και πρακτόρων κώδικα AI:
- Cursor (συμπεριλαμβανομένου του Cursor CLI)
- Gemini CLI
- Windsurf
- GitHub Copilot
- Cline
- OpenClaw, ZeroClaw και NanoClaw

Αυτά τα εργαλεία έχουν πρόσβαση σε command line υψηλής προνομίωσης και εκτελούν κώδικα από τρίτους πόρους, καθιστώντας τα ευάλωτα σε αυτού του είδους την επίθεση.

Ο μηχανισμός της παραίσθησης

Τα LLMs ακολουθούν διάφορα μοτίβα παραισθήσεων. Το HalluSquatting εκμεταλλεύεται αυτό που περιγράφεται ως αυτοαναφορικό μοτίβο (self-referential). Και τα έξι μοντέλα παράγουν slugs της μορφής repo-name/repo-name, αντιμετωπίζοντας το όνομα του αποθετηρίου σαν ιδιοκτήτη. Η εκμετάλλευση αυτού του μοτίβου δεν απαιτεί καμία διερεύνηση του μοντέλου.

Ένα ενδιαφέρον εύρημα είναι ότι τα LLMs εντοπίζουν σωστά αποθετήρια που δημοσιεύθηκαν πριν από το 2019 με πολύ χαμηλό ποσοστό παραίσθησης μόλις 0,9%. Αντίθετα, για αποθετήρια που δημοσιεύθηκαν το 2025, το ποσοστό παραίσθησης εκτοξεύεται στο 92,4%.

Αφού οι εισβολείς εντοπίσουν ονόματα που είναι πιθανό να παραισθούνται τα LLMs, αναζητούν εκείνα που μπορούν να καταχωρηθούν. Στη συνέχεια, ανεβάζουν ένα αποθετήριο ή skill που μιμείται τον trending πόρο, με κρυμμένες οδηγίες μέσα σε αρχεία readme ή αλλού. Οι οδηγίες ζητούν από την εφαρμογή να εγκαταστήσει ένα reverse shell στη μηχανή του χρήστη.

Οι συνέπειες και η κλίμακα της απειλής

Το HalluSquatting ανοίγει τον δρόμο για πρωτοφανείς επιθέσεις μεγάλης κλίμακας. Οι ερευνητές περιγράφουν πώς οι εισβολείς μπορούν να αποκτήσουν πρόσβαση σε κατανεμημένους υπολογιστικούς πόρους υπό τον έλεγχό τους, επιτρέποντας:
- Μαζικές επιθέσεις ransomware σε διαφορετικά δίκτυα
- Δημιουργία botnets για κακόβουλες δραστηριότητες
- Εξόρυξη κρυπτονομισμάτων μεγάλης κλίμακας (π.χ. Smominru, WannaMine)
- Κατανεμημένες επιθέσεις άρνησης υπηρεσίας (DDoS) εναντίον στόχων (π.χ. Mirai)

«Αυτή είναι μια πολύ ενδιαφέρουσα έρευνα και η απειλή είναι πολύ πραγματική», δήλωσε ο Michael Bargury, CTO της εταιρείας ασφαλείας Zenity. «Όπως το typosquatting, είναι ένα πρόβλημα που δεν πρόκειται να εξαφανιστεί. Στο τέλος της ημέρας, έχει να κάνει με το επίπεδο αυτονομίας που επιτρέπουμε στους πράκτορές μας. Θα εξαπατηθούν με τον έναν ή τον άλλον τρόπο. Αυτή θα πρέπει να είναι η παραδοχή μας και θα πρέπει να είμαστε ανθεκτικοί σε αυτό».

Ο ανεξάρτητος ερευνητής Johann Rehberger σημείωσε ότι η έρευνα δείχνει πως η ανάλυση πόρων από τα LLMs μπορεί να γίνει ένα διάνυσμα επίθεσης, επιτρέποντας στους εισβολείς να διερευνούν πρώτα τα μοντέλα για να βρουν υποψήφια ονόματα με υψηλή πιθανότητα παραίσθησης.

Ένα μάθημα για την τεχνητή νοημοσύνη

Η έρευνα των Spira, Feldman, Wool, Nassi, Cohen και Bitton υπενθυμίζει ότι οι εταιρείες τεχνητής νοημοσύνης συχνά υπερβάλλουν ως προς την ευκολία και την αποδοτικότητα των πλατφορμών τους, ενώ είναι πολύ πιο διστακτικές σχετικά με τα εγγενή ελαττώματα που μπορούν να υπονομεύσουν ολόκληρα έργα. Επιθέσεις όπως το HalluSquatting αποτελούν μια ισχυρή υπενθύμιση ότι ορισμένες από τις υποσχέσεις αποδοτικότητας είναι υπερβολικές, καθώς οι χρήστες πρέπει τελικά να ελέγχουν διπλά κάθε λεπτομέρεια. Προσφέρουν επίσης ένα προειδοποιητικό μάθημα για τα απρόβλεπτα και δυνητικά καταστροφικά αποτελέσματα που μπορεί να προκύψουν όταν οι άνθρωποι βασίζονται υπερβολικά στους βοηθούς τεχνητής νοημοσύνης.

T

Toggle Tech Team

Editor-in-chief at Toggle. Covering technology and global affairs.