Игорь Градов
Игорь Градов
5 мин
ai

Нейросети подрывают безопасность кода: атака HalluSquatting собирает ботнеты через галлюцинации ИИ

Почему это важно Впервые исследователи показали атаку через промпт-инъекцию, которая не требует нацеливания на каждую жертву отдельно: заражённый код сам…

Нейросети подрывают безопасность кода: атака HalluSquatting собирает ботнеты через галлюцинации ИИ
Почему это важно

Впервые исследователи показали атаку через промпт-инъекцию, которая не требует нацеливания на каждую жертву отдельно: заражённый код сам попадает в проекты через галлюцинации ИИ-помощников, и масштаб ограничен только числом разработчиков, использующих эти инструменты.

Исследователи в области нейросетей и безопасности описали новый тип атаки под названием HalluSquatting, которая превращает галлюцинации (когда нейросеть уверенно выдумывает то, чего не существует) больших языковых моделей в оружие для массового заражения устройств разработчиков.

Что Когда Кто обнаружил Цена
HalluSquatting: атака через подмену пакетов, которые ИИ-помощники «выдумывают» Дата публикации в источнике не указана Независимые исследователи безопасности Бесплатно для атакующего: регистрация пакетов в открытых реестрах не стоит ничего

Что делает эту атаку опасной?

  • Не нужно целиться в конкретную жертву. До сих пор промпт-инъекции (когда злоумышленник подсовывает модели вредоносную команду) работали по принципу «push»: атакующий вставлял вредоносную инструкцию в письмо или приглашение в календарь и отправлял конкретному человеку. Масштаб был ограничен.

  • HalluSquatting работает по принципу «pull». ИИ-ассистенты для написания кода сами обращаются к внешним хранилищам (реестрам пакетов, репозиториям) и скачивают оттуда библиотеки. Проблема в том, что модель регулярно галлюцинирует названия пакетов, придумывая идентификаторы, которых не существует.

  • Атакующий предсказывает эти выдуманные имена. Он регистрирует пакеты с этими именами в реальных реестрах и начиняет их вредоносным кодом: обратными оболочками (reverse shell, программа, которая даёт злоумышленнику удалённый доступ к машине) или другим вредоносным ПО.

  • Уязвимы конкретные инструменты. Согласно исследованию, атака работает против Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw и NanoClaw. Все эти ИИ-помощники и ИИ-агенты (программы, которые сами выполняют цепочки действий) имеют доступ к командной строке с высокими привилегиями.

  • Результат: массовые ботнеты и DDoS. Исследователи указывают, что HalluSquatting потенциально позволяет собирать масштабные ботнеты (сети заражённых устройств) и проводить DDoS-атаки (когда тысячи машин одновременно перегружают сервер жертвы). Для промпт-инъекций это описано впервые.

Почему привычные защиты не работают?

Большие языковые модели (LLM, нейросети, на которых построены чат-боты и ИИ-помощники) принципиально не умеют отличать легитимные инструкции пользователя от вредоносных, спрятанных в обрабатываемом контенте. Разработчики ИИ-движков вынуждены строить «ограждения» (guardrails), которые смягчают последствия, но не устраняют корневую причину.

HalluSquatting эксплуатирует именно эту слепую зону: модель не проверяет, существует ли пакет, на который она ссылается. А поскольку кодовые ассистенты запускают загруженный код автоматически, заражение происходит без участия человека.

Для контекста: функция подсказки кода есть в большинстве популярных IDE, и миллионы разработчиков используют ИИ-помощники ежедневно. Атака масштабируется не через рассылку, а через саму инфраструктуру разработки.

Как проверить, не затронуты ли вы?

  1. Проверьте зависимости проекта. Откройте файл зависимостей (package.json, requirements.txt, go.mod) и сравните каждое имя пакета с реальным реестром (npm, PyPI, Go Modules). Если видите незнакомое название, проверьте дату создания пакета и автора.

  2. Ограничьте автоматическую установку. В настройках ИИ-ассистента (Cursor, Copilot и подобных) отключите автоматическое выполнение команд установки. Пусть помощник предлагает команду, а вы запускаете её вручную после проверки.

  3. Используйте lockfile и хеши. Фиксируйте точные версии и контрольные суммы пакетов. Любое расхождение при установке станет сигналом подмены.

  4. Следите за обновлениями ИИ-ассистентов. После публикации исследования разработчики уязвимых инструментов могут выпустить патчи. Обновляйте ассистенты сразу, как только выходят исправления в области нейросетей и безопасности.

Есть ли аналогичный риск в российских инструментах?

Из доступных в РФ ИИ-помощников для кода наиболее известны GigaCode от Сбера и кодовые возможности YandexGPT. Оба работают с российскими репозиториями и международными реестрами пакетов. Исследование не тестировало эти инструменты напрямую, поэтому нельзя сказать, уязвимы они или нет. Но механизм атаки универсален: если любой ИИ-помощник обращается к публичному реестру и может галлюцинировать имя пакета, он потенциально подвержен HalluSquatting. Российским разработчикам и DevOps-специалистам стоит применять те же меры предосторожности, что и пользователям Copilot или Cursor.

Мнение редакции dzen.guru

HalluSquatting, на мой взгляд, показывает фундаментальную проблему: мы дали ИИ-ассистентам доступ к командной строке и сетевым ресурсам, но не научили их проверять, что они оттуда тянут. Пока модели галлюцинируют, а реестры пакетов открыты для регистрации любым желающим, этот вектор будет работать.

Оговорка: исследователи описали потенциал атаки, массовых инцидентов в публичном поле на момент публикации не зафиксировано. Но дистанция от «исследование» до «эксплуатация в дикой природе» в таких случаях может быть короткой.

Что сделать сегодня:

  • Авторам Дзена и контент-специалистам: если вы пользуетесь ИИ для генерации кода на своём сайте или в плагинах, перепроверяйте каждый предложенный пакет вручную. Не запускайте автоматическую установку.
  • Разработчикам и DevOps-специалистам: проведите аудит зависимостей текущих проектов. Включите строгий режим lockfile. Рассмотрите приватные реестры пакетов для критичных сервисов.
  • Предпринимателям: уточните у вашей технической команды, какие ИИ-помощники используются в разработке и есть ли политика проверки зависимостей. Если нет, это повод её завести.

Частые вопросы

Может ли HalluSquatting затронуть обычного пользователя, а не разработчика?

Напрямую нет. Атака нацелена на ИИ-ассистенты для написания кода, которые имеют доступ к командной строке и реестрам пакетов. Если вы используете ChatGPT или YandexGPT для текстов и не устанавливаете код, этот конкретный вектор вас не касается. Но если заражённый код попадёт в приложение, которым вы пользуетесь, последствия могут дойти и до конечного пользователя.

Почему разработчики ИИ-ассистентов не закрыли эту уязвимость?

Потому что проблема лежит в самой природе больших языковых моделей: они не различают реальные и выдуманные идентификаторы. Это не баг конкретного продукта, а свойство технологии. Разработчики могут добавить проверку существования пакета перед установкой, но на момент публикации исследования ни один из перечисленных инструментов этого не делал.

Какие пакетные реестры под угрозой?

Исследование указывает на реестры и репозитории в целом, не выделяя конкретные (npm, PyPI и другие) поимённо. Угроза распространяется на любой публичный реестр, где можно свободно зарегистрировать пакет с произвольным именем.

Атака через выдуманные пакеты звучит почти комично, пока не осознаёшь, что именно так работают миллионы сборок каждый день: ИИ предложил, автоматика установила, разработчик не глядя подтвердил. Проверяйте каждое имя, это занимает секунды и стоит дешевле, чем разбирать последствия.

Поделиться:TelegramVK
Игорь Градов
Игорь Градов

Основатель dzen.guru. Эксперт по монетизации и продвижению на Дзен. Автор курса «Старт на Дзен 2026».

Комментарии

Читайте также

Французский стартап ZML ускоряет вывод искусственного интеллекта
ai

Французский стартап ZML ускоряет вывод искусственного интеллекта

Французский стартап ZML, поддержанный лауреатом премии Тьюринга Янном Лекуном, 10 июня выпустил серверное ПО ZML/LLMD, которое позволяет запускать открытые…

5 мин
Яндекс раскрыл LLM-оптимизации больших моделей: 50+ патчей для продакшена
ai

Яндекс раскрыл LLM-оптимизации больших моделей: 50+ патчей для продакшена

Инференс (inference, этап, когда готовая модель обрабатывает запросы пользователей) большой языковой модели работает стабильно ровно до момента, когда реальный…

6 мин
SambaNova привлекла $1 млрд на альтернативу чипам Nvidia для ИИ: оценка выросла в 7 раз
ai

SambaNova привлекла $1 млрд на альтернативу чипам Nvidia для ИИ: оценка выросла в 7 раз

SambaNova Systems привлекла миллиард долларов в первом закрытии раунда Series F при оценке компании в 11 миллиардов, чтобы масштабировать производство…

6 мин