پژوهشگران حمله HalluSquatting را برای سوءاستفاده از خطاهای هوش مصنوعی معرفی کردند

پژوهشگران امنیت سایبری روش جدیدی با نام HalluSquatting را معرفی کردند. این روش از خطاهای مدل‌های هوش مصنوعی سوءاستفاده می‌کند

و ابزارهای مبتنی بر هوش مصنوعی را به دانلود و اجرای کدهای مخرب هدایت می‌کند.

پژوهشگران این حمله را تهدیدی جدی برای امنیت ابزارهای برنامه‌نویسی مبتنی بر هوش مصنوعی می‌دانند.

مهاجمان در این روش، نام مخازن و بسته‌های نرم‌افزاری جعلی را ثبت می‌کنند.

سپس مدل‌های هوش مصنوعی مانند Cursor، GitHub Copilot و Gemini CLI هنگام ارائه پیشنهاد،

این نام‌های جعلی را به جای منابع واقعی انتخاب می‌کنند.

ابزار هوش مصنوعی نیز کدهای مخرب را دانلود و اجرا می‌کند.

پژوهشگران در آزمایش‌های خود نرخ بالایی از خطا را در برخی سناریوها ثبت کردند.

آن‌ها هشدار دادند که مهاجمان می‌توانند از این ضعف برای گسترش بدافزار،

سرقت اطلاعات، اجرای کد از راه دور و حتی ایجاد بات‌نت‌های بزرگ استفاده کنند.

پژوهشگران به توسعه‌دهندگان توصیه کردند آدرس مخازن،

بسته‌های نرم‌افزاری و منابع پیشنهادی هوش مصنوعی را همیشه به‌صورت دستی بررسی کنند.

آن‌ها همچنین از شرکت‌های توسعه‌دهنده مدل‌های زبانی خواستند

مکانیزم‌های اعتبارسنجی و بررسی منابع را تقویت کنند تا خطر حملات مشابه کاهش پیدا کند.