
AI agent 搵錯 repo:HalluSquatting 點樣變供應鏈風險
AI 助手攞錯 repo 或 skill,風險會由一個假資源放大到多部公司機
發生咩事
今次比普通「網頁入面藏 prompt」麻煩,因為攻擊者唔使逐個 email 或 calendar invite 推畀目標。研究團隊叫呢招 HalluSquatting:LLM 搵熱門 repo 或 agent skill 時,有機會將 owner/repo 或 skill 名估錯;如果有人早一步註冊嗰個假名,再放入有問題嘅內容,agent 可能自己攞錯嘢返嚟。
點解會放大
研究頁同 Ars 都提到,測試範圍包括 Cursor、Cursor CLI、Gemini CLI、Windsurf、GitHub Copilot、Cline、OpenClaw、ZeroClaw、NanoClaw。重點放喺佢哋會幫你攞外部資源,有啲仲有 terminal / shell 權限。研究指 repo cloning 場景最高有 85% 錯誤資源位置,skill installation 可以高到 100%;研究又話,2019 年前嘅 repo 平均幻覺率只係 0.9%;到 2025 年,repo 平均有 92.4% 假 slug。
呢同 Unit 42 最近講嘅 phantom squatting 一脈相承:模型亂生可註冊嘅 domain 或 endpoint,攻擊者先霸位,再等 AI 返去攞。HalluSquatting 轉到 developer tools,殺傷力大咗,因為 agent 可能唔止開網頁,仲會攞 code 同跑命令。
風險喺權限
危險位喺模型答錯名之後,agent 仲會做動作。如果只係 chat 視窗答錯,最多係你查多次;但 coding agent 連住 repo、SSH key、npm token、Cloudflare 或 AWS API key,仲可以開 terminal,錯信一個假 skill 就可能令公司機執行第三方內容。呢種風險同傳統 typosquatting 似,分別係觸發點由人手打錯字變成 LLM 自己估錯。
OWASP LLM Top 10 入面,prompt injection、supply chain 同 excessive agency 係幾個分開嘅風險;HalluSquatting 麻煩就麻煩在三樣撞埋一齊:模型讀到唔可信內容,供應鏈有假資源,agent 權限又太闊。所以呢件事唔應該只交畀模型 guardrail 處理,權限同來源驗證先係主戰場。
唔好當成已爆災
先講清楚:呢份研究係 proof-of-concept。研究團隊話已經向相關 app vendor、foundation model provider 同 host framework maintainer 負責任披露,但公開頁冇列逐間修補狀態。佢哋亦因倫理只放 benign GitHub repository 同 ClawHub skill,冇上載惡意 payload。換句話講,呢個唔等於而家全網 agent 已經俾人接管;佢證明嘅係,當資源名靠 LLM 估、工具又有執行權限,攻擊可以由單一假資源放大。
香港公司要點做
叫同事「用 AI 小心啲」太空泛,防線要落到權限層。公司 IT 可以將 AI agent 當半個 junior admin:預設冇 shell;要 shell 就喺 container / VM;fetch 外部 repo、skill、package 前先查官方位置同 owner;任何會改檔、裝套件、打 API、連 SaaS 嘅動作,都要人手 approve。
開發團隊仲要做 allowlist:常用 GitHub org、package registry、internal mirror 同 skill marketplace 固定白名單;CI/CD 入面嘅 AI reviewer 或自動修 PR 工具,只畀 read-only token,唔好畀 production secret。marketing 或 customer service 用 agent 讀 email、網頁同 CRM 時,同樣要隔離權限,因為 prompt injection 唔只喺 code repo 先有。
市場講法要收斂
AI agent 嘅賣點成日係幫你慳步驟、少啲查文件、少啲 copy paste。HalluSquatting 提醒大家:慳咗嘅步驟入面,有啲其實係驗證來源。工具自動化愈多,source checking、權限隔離、outbound approval 就愈要硬,唔可以靠模型「應該識分」嚟守門。下一步要睇各大 coding agent 會唔會強制搜尋官方來源、封鎖可疑資源名,同埋喺 terminal 前加清楚嘅人手確認。
參考來源
- Ars Technica — Hackers can use 9 of the most popular AI tools to assemble massive botnets — original report
- Beware of Agentic Botnets: Scalable Untargeted Promptware Attacks via Universal and Transferable Adversarial HalluSquatting — 研究團隊 primary page,列明 threat model、測試工具、85% / 100% 幻覺率、披露同防守建議。
- Unit 42: Phantom Squatting: AI-Hallucinated Domains as a Software Supply Chain Vector — 背景:phantom squatting 展示 LLM 亂生 domain / endpoint 點樣變成供應鏈入口。
- OWASP LLM01:2025 Prompt Injection — OWASP 官方定義 indirect prompt injection,同 agent 讀外部內容時嘅風險分類。
- Trail of Bits: The sorry state of skill distribution — 背景:Trail of Bits 測試 skill scanner 繞過,講清楚 skill 發佈渠道防線未成熟。
- Koi: ClawHavoc: 341 Malicious Clawed Skills Found by the Bot They Were Targeting — 背景:Koi 掃 ClawHub 惡意 skills,補返 public skill marketplace 嘅實際風險。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







