Para peneliti telah menemukan serangan injeksi prompt baru yang disebut HalluSquatting yang memengaruhi sembilan alat coding AI populer termasuk Cursor, GitHub Copilot, dan Gemini CLI. Serangan ini mengeksploitasi ketidakmampuan model bahasa besar untuk membedakan antara instruksi yang sah dan berbahaya, dikombinasikan dengan kecenderungan mereka untuk berhalusinasi pengidentifikasi sumber daya dari repositori kode. Kerentanan ini memungkinkan musuh untuk merakit botnet besar dan melakukan serangan DDoS skala besar dengan mendaftarkan pengidentifikasi yang diprediksi berhalusinasi dan menanamnya dengan instruksi berbahaya. Injeksi prompt telah muncul sebagai ancaman teratas dalam keamanan AI, dengan LLM secara inheren tidak dapat menegakkan batas antara instruksi pengguna tepercaya dan konten pihak ketiga yang tidak tepercaya.
HalluSquatting Mengeksploitasi Halusinasi Pengidentifikasi Sumber Daya LLM
Singkatan dari adversarial hallucination squatting, HalluSquatting bekerja melawan agen dan asisten coding yang mengakses baris perintah dengan hak istimewa tinggi untuk menjalankan kode dari sumber daya pihak ketiga. Metode serangan ini memprediksi pengidentifikasi yang paling mungkin dihalusinasi oleh LLM, kemudian mendaftarkan dan menanamnya dengan instruksi untuk memasang reverse shell atau perangkat lunak berbahaya lainnya. Asisten dan agen coding AI secara rutin menarik kode dan sumber daya lainnya dari repositori dan registri dalam menjalankan aktivitas sehari-hari. Tanpa cara untuk menegakkan batas antara sumber tepercaya dan tidak tepercaya, pengembang mesin AI terpaksa membangun pagar pengaman rumit yang dirancang untuk mengurangi kerusakan daripada menyelesaikan akar masalah.
Sembilan Alat Coding AI Dikonfirmasi Rentan Terhadap Serangan
Serangan ini bekerja melawan asisten dan agen coding AI termasuk Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw, dan NanoClaw. Kesembilan alat tersebut rentan terhadap metode serangan HalluSquatting. Alat-alat ini biasanya mengakses baris perintah dengan hak istimewa tinggi untuk mengeksekusi kode dari repositori dan registri pihak ketiga.
Serangan Berbeda dari Injeksi Prompt Berbasis Push Sebelumnya
Injeksi prompt sebelumnya termasuk dalam kelas yang dikenal sebagai serangan push, di mana setiap calon korban ditargetkan secara individual. Misalnya, musuh menyuntikkan instruksi berbahaya ke dalam email individu atau undangan kalender. Karena injeksi harus dikirim ke setiap target tertentu, skala serangan berbasis push terbatas. Serangan berbasis pull, di mana LLM secara aktif mencari prompt musuh yang ditanam di situs web, tetap terbatas tanpa cara untuk menarik sejumlah besar LLM ke situs berbahaya. HalluSquatting mewakili serangan berbasis pull yang dapat menginfeksi sejumlah besar perangkat secara membabi buta tanpa menargetkan masing-masing secara individual.
FAQ
Apa itu HalluSquatting dan bagaimana cara kerjanya?
HalluSquatting adalah serangan injeksi prompt baru yang mengeksploitasi kecenderungan model bahasa besar untuk berhalusinasi pengidentifikasi sumber daya dari repositori kode. Penyerang memprediksi pengidentifikasi mana yang paling mungkin dihalusinasi oleh LLM, mendaftarkan pengidentifikasi tersebut, dan menanamnya dengan instruksi berbahaya seperti pemasangan reverse shell.
Alat coding AI mana yang rentan terhadap serangan HalluSquatting?
Sembilan alat coding AI rentan terhadap HalluSquatting: Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw, dan NanoClaw. Alat-alat ini secara rutin menarik kode dan sumber daya dari repositori dan registri pihak ketiga.
Bagaimana HalluSquatting berbeda dari serangan injeksi prompt sebelumnya?
Injeksi prompt sebelumnya adalah serangan berbasis push yang memerlukan penargetan masing-masing korban secara individual melalui email atau undangan kalender. HalluSquatting adalah serangan berbasis pull yang dapat menginfeksi sejumlah besar perangkat secara membabi buta tanpa penargetan individual, karena alat AI yang terpengaruh secara aktif mencari prompt musuh yang ditanam di repositori.