テルアビブ大学、テクニオン、Intuitの研究者らは、AIアシスタントがハルシネーション(幻覚)を起こしやすい性質を悪用し、大規模な感染ベクターへと転換する新たな攻撃手法「HalluSquatting」の詳細を明らかにしました。
サイバーセキュリティ業界ではこれまでにも、メールやログ、コメント、メッセージ通知といった経路を介してプロンプトインジェクションを仕込み、AIツールをハッキングまたは乗っ取る手口がいくつも確認されています。
こうしたプロンプトウェア攻撃は、攻撃者が標的となるユーザーのLLMアプリケーションに直接アクセスできる経路を持っていることを前提としています。
一方でHalluSquattingは、直接的な経路を持たずともAIアプリケーションを大規模に悪用できる、非標的型のプロンプトウェアの一種として説明されています。この手法は「アドバーサリアル・ハルシネーション・スクワッティング」と呼ばれる技術に基づいています。
HalluSquatting攻撃では、攻撃者はまず、人気の高いトレンドリソースの取得を求められた際にLLMがよく捏造してしまう、架空のリポジトリ名やパッケージ名を先回りして登録します。
研究チームによると、実験でのハルシネーション発生率はリポジトリのクローン作成を求めるプロンプトで最大85%、スキルのインストールでは100%に達したとのことです。また、同じハルシネーション名が異なる基盤モデル間で繰り返し出現する傾向があり、この手法が幅広いモデルに転用可能であることも示されました。
ハルシネーションによって生じた架空のリポジトリやパッケージが一度登録されてしまえば、攻撃者はその中に悪意のある命令を仕込むことができます。
何も知らないユーザーがCursor、Windsurf、GitHub Copilot、Cline、Gemini CLI、OpenClawといったAIツールにリポジトリのクローン作成やスキルのインストールを依頼すると、アシスタントがスクワッティングされた偽名をハルシネーションによって呼び出し、それを取得したうえで、内蔵ターミナル経由で攻撃者のコマンドを実行してしまう可能性があります。
これらのコマンドは、AIに追加のツールやコードを実行させるよう仕向けることができ、その結果としてさまざまな種類のマルウェアやハッキングツールが展開されるおそれがあります。
HalluSquattingに関する研究は、この手法を用いてエージェント型ボットネットを構築することに焦点を当てています。このボットネットの規模は、AIツールが攻撃者のスクワッティングしたリソースをどれだけ頻繁にハルシネーションによって呼び出すかに左右されます。
従来型のボットネットは、脆弱性や脆弱なセキュリティ対策、横方向の侵害拡大(ラテラルムーブメント)に依存しています。これに対しエージェント型ボットネットは、従来型ファイアウォールを回避するプロンプトインジェクションを介して拡散し、事実上あらゆるデバイスに根を下ろすことができます。その結果、Miraiのようなボットネットと比べて、侵害されたホスト群がはるかに多様な構成になります。
影響を受けるベンダー各社にはHalluSquattingに関する研究の公表前に通知が行われており、研究者らは攻撃者に直接悪用されかねないと判断したエクスプロイトの詳細については公開を控えています。
翻訳元: https://www.securityweek.com/hallusquatting-turns-ai-hallucinations-into-botnet-delivery-mechanism/