Des chercheurs ont découvert une nouvelle attaque par injection de prompt appelée HalluSquatting qui affecte neuf outils de codage IA populaires, dont Cursor, GitHub Copilot et Gemini CLI. L'attaque exploite l'incapacité des grands modèles de langage à distinguer les instructions légitimes des instructions malveillantes, combinée à leur tendance à halluciner des identifiants de ressources provenant de dépôts de code. Cette vulnérabilité permet aux adversaires d'assembler des botnets massifs et de mener des attaques DDoS à grande échelle en enregistrant des identifiants hallucinés prédits et en les ensemençant avec des instructions malveillantes. L'injection de prompt est devenue la menace la plus importante en matière de sécurité IA, les LLM étant intrinsèquement incapables d'imposer des frontières entre les instructions utilisateur de confiance et le contenu tiers non fiable.
HalluSquatting exploite l'hallucination des identifiants de ressources par les LLM
Abréviation de « adversarial hallucination squatting », HalluSquatting fonctionne contre les agents et assistants de codage qui accèdent à des lignes de commande à haute privilège pour exécuter du code provenant de ressources tierces. La méthode d'attaque prédit les identifiants que les LLM sont les plus susceptibles d'halluciner, puis les enregistre et les ensemence avec des instructions pour installer des reverse shells ou d'autres logiciels malveillants. Les assistants et agents de codage IA récupèrent régulièrement du code et d'autres ressources à partir de dépôts et de registres dans le cadre de leurs activités quotidiennes. Sans moyen d'imposer la frontière entre sources de confiance et sources non fiables, les développeurs de moteurs IA sont contraints d'ériger des garde-fous élaborés conçus pour atténuer les dommages plutôt que de résoudre la cause profonde.
Neuf outils de codage IA confirmés vulnérables à l'attaque
L'attaque fonctionne contre les assistants et agents de codage IA, notamment Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw et NanoClaw. Les neuf outils sont susceptibles d'être attaqués par la méthode HalluSquatting. Ces outils accèdent couramment à des lignes de commande à haute privilège pour exécuter du code provenant de dépôts et registres tiers.
L'attaque diffère des précédentes injections de prompt par poussée
Les précédentes injections de prompt appartenaient à une classe connue sous le nom d'attaques par poussée, dans lesquelles chaque victime potentielle est ciblée individuellement. Par exemple, les adversaires injectent des instructions malveillantes dans des e-mails ou des invitations de calendrier individuels. Étant donné que l'injection doit être envoyée à chaque cible spécifique, l'échelle des attaques par poussée est limitée. Les attaques par traction, dans lesquelles un LLM recherche activement des prompts adverses placés sur des sites Web, restaient limitées, sans moyen d'attirer un grand nombre de LLM vers un site malveillant. HalluSquatting représente une attaque par traction qui peut infecter indistinctement un nombre massif d'appareils sans cibler chacun individuellement.
FAQ
Qu'est-ce que HalluSquatting et comment cela fonctionne-t-il ?
HalluSquatting est une nouvelle attaque par injection de prompt qui exploite la tendance des grands modèles de langage à halluciner des identifiants de ressources provenant de dépôts de code. Les attaquants prédisent les identifiants que les LLM sont les plus susceptibles d'halluciner, enregistrent ces identifiants et les ensemencent avec des instructions malveillantes telles que des installations de reverse shells.
Quels outils de codage IA sont vulnérables aux attaques HalluSquatting ?
Neuf outils de codage IA sont susceptibles à HalluSquatting : Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw et NanoClaw. Ces outils récupèrent régulièrement du code et des ressources à partir de dépôts et registres tiers.
En quoi HalluSquatting diffère-t-il des précédentes attaques par injection de prompt ?
Les précédentes injections de prompt étaient des attaques par poussée qui nécessitaient de cibler chaque victime individuellement via des e-mails ou des invitations de calendrier. HalluSquatting est une attaque par traction qui peut infecter indistinctement un nombre massif d'appareils sans ciblage individuel, car les outils IA affectés recherchent activement les prompts adverses placés dans les dépôts.