Các nhà nghiên cứu từ Đại học Tel Aviv, Viện Công nghệ Israel và Intuit đã tiết lộ một phương thức tấn công mới mang tên "xâm nhập ảo giác đối kháng" (HalluSquatting) trong bài báo "Cảnh giác với mạng bot đối kháng: thực hiện tấn công Promptware mở rộng quy mô qua HalluSquatting chung và có thể chuyển đổi". Phương thức này lợi dụng hiện tượng ảo giác của AI để lừa AI代理 tải xuống mã độc.
Cơ chế tấn công HalluSquatting: Nguyên lý kỹ thuật dự đoán và đăng ký trước tài nguyên ảo giác của AI
Theo giải thích của các nhà nghiên cứu, bước tấn công HalluSquatting là: kẻ tấn công dự đoán các mô hình AI có thể tạo ra các liên kết giả mạo trỏ đến kho phần mềm và tài nguyên trực tuyến, sau đó đăng ký trước các tên này và chèn lệnh độc hại vào trong đó; khi AI代理 cố gắng truy xuất các tài nguyên ảo giác này, sẽ xem nội dung do kẻ tấn công kiểm soát là hợp lệ và thực thi.
Cơ chế này tương tự như "đặt tên sai chính tả" (Typosquatting) trong các cuộc tấn công mạng truyền thống — trong đó, tên miền sai chính tả dựa trên lỗi gõ của con người, còn HalluSquatting nhắm vào các lỗi ảo giác của mô hình AI. Khi các trợ lý AI mở rộng khả năng từ trả lời câu hỏi sang truy cập tài liệu, tìm kiếm trên mạng, viết mã và chạy lệnh, mối đe dọa này sẽ ảnh hưởng phạm vi rộng hơn rõ rệt.
Dữ liệu thử nghiệm: 85% kho mã nguồn và 100% cài đặt kỹ năng
Theo kết quả thử nghiệm của các nhà nghiên cứu, tỷ lệ ảo giác của tấn công HalluSquatting như sau:
Tình huống sao chép kho mã nguồn: tỷ lệ ảo giác của AI đạt 85%
Tình huống cài đặt kỹ năng: tỷ lệ ảo giác của AI đạt 100%
Nhóm nghiên cứu đã thử nghiệm bốn trợ lý mã hóa AI và代理 sau:
Cursor: bị ảnh hưởng
GitHub Copilot: bị ảnh hưởng
Gemini CLI: bị ảnh hưởng
OpenClaw: bị ảnh hưởng
Các câu hỏi thường gặp
HalluSquatting là gì, nó khác gì so với các cuộc tấn công mạng truyền thống?
Theo các nhà nghiên cứu, HalluSquatting là việc dự đoán các liên kết tài nguyên giả mạo do mô hình AI có thể tạo ra, đăng ký trước các tên này và chèn lệnh độc hại; khác với "đặt tên sai chính tả" trong tấn công truyền thống dựa trên lỗi gõ của con người, HalluSquatting nhắm vào các lỗi ảo giác của mô hình AI. Bài báo nghiên cứu được công bố bởi các nhà nghiên cứu từ Đại học Tel Aviv, Viện Công nghệ Israel và Intuit.
Các công cụ AI nào bị ảnh hưởng bởi tấn công HalluSquatting?
Theo thử nghiệm của các nhà nghiên cứu, các trợ lý mã hóa AI như Cursor, GitHub Copilot, Gemini CLI và OpenClaw đều bị ảnh hưởng; tỷ lệ ảo giác trong tình huống cài đặt kỹ năng lên tới 100%, trong khi trong tình huống sao chép kho mã nguồn đạt 85%. Mức độ ảnh hưởng cụ thể và các biện pháp giảm thiểu sẽ dựa trên các thông báo an toàn chính thức của nhà phát triển từng công cụ.
Làm thế nào HalluSquatting có thể dẫn đến hình thành mạng bot AI?
Theo các nhà nghiên cứu, nếu AI代理 trong quá trình thực hiện nhiệm vụ truy xuất các tài nguyên độc hại do kẻ tấn công kiểm soát và xem chúng là nội dung hợp lệ để thực thi, kẻ tấn công có thể điều khiển từ xa các mã lệnh qua các代理 này, hình thành mạng bot gồm các AI代理 bị tấn công; mạng bot này có thể dùng để tấn công từ chối dịch vụ, khai thác tiền mã hóa, phát tán phần mềm độc hại và tấn công ransomware. Các kịch bản tấn công cụ thể sẽ dựa trên bài báo nghiên cứu.