近日,科技媒体Tom'sHardware报道了一种名为HalluSquatting的新型AI漏洞。研究人员发现,这种漏洞会放大AI模型在调用工具时的“幻觉”,即将不存在或错误的代码仓库地址误认为真实地址。AI幻觉指的是AI模型生成的不正确或具有误导性的结果,可能由训练数据不足、模型做出不正确的假设,或训练数据存在偏差等因素造成。
这项研究由特拉维夫大学、以色列理工学院和Intuit的研究人员共同发布。他们指出,智能体AI在遇到陌生项目、仓库或工具名称后,可能会自行补全出看似合理但实际错误的地址。例如,新仓库地址为OriginalOwner/WindowsTelemetryOff,由于模型训练数据未覆盖较新的项目,模型可能生成SuperHacker/WindowsTelemetryOff、WindowsTelemetryOff/WindowsTelemetryOff,或带拼写误差的近似地址。研究还发现,当代码智能体如Claude收到“运行windowstelemetryoff脚本”等指令时,模型可能直接幻觉出仓库名,甚至在执行网页搜索后仍访问到恶意版本,并进一步运行其中代码。
量化结果显示,模型对近期代码仓库位置的幻觉率最高可达85%,对热门智能体技能可达100%。2025年发布的样本GitHub仓库名称,模型平均幻觉率为92.4%;2019年或更早发布的仓库,地址错误率为0.9%。在应用层,攻击成功率存在分化:Cursor、GeminiCLI和Copilot的成功率为20%-35%,OpenClaw及其变体接近80%-100%。
