7月13日、Jeff Burtが「'HalluSquatting' Compromises AI Coding Agents to Install Malware, Create Botnets」と題した記事を公開した。この記事では、AIコーディングエージェントのハルシネーション(幻覚)を悪用してマルウェアをインストールさせる新たな攻撃手法「HalluSquatting」について詳しく紹介されている。
AIのハルシネーションが「武器」になる
テルアビブ大学、テクニオン、Intuitの研究者らが今週公開した論文で、「HalluSquatting(ハルスクワッティング)」と名付けられた攻撃手法が明らかになった。
GitHub CopilotやCursorをはじめとするAIコーディングエージェントは、ここ数年で開発現場への普及が急速に進んでいる。コード補完やパッケージ取得、コマンド実行といった作業を自律的にこなすのがその強みだが、この「自律性」そのものが新たな攻撃面を生んでいる。
仕組みはシンプルだ。開発者がAIコーディングエージェントにパッケージのインストールやリポジトリからのコード取得を指示すると、エージェントは実在しない架空のパッケージ名を「ハルシネーション」として生成することがある。攻撃者はこの架空の名前を事前に予測して登録しておき、その中に悪意あるコードを仕込む。エージェントが自律的にそのパッケージを取得した瞬間、マルウェアが開発者のシステムに侵入する。
これはタイポスクワッティング(typosquatting)——正規ドメインに似た名前を登録して誤クリックを待つ手口——のAI版と言える。ただし決定的な違いがある。タイポスクワッティングは人間のタイプミスを待つが、HalluSquattingはAIエージェント自身が誤った名前を生成することを利用する。エージェントはコマンドを実行する際、そのソースが実在するかを確認しないことが多い。
また、従来のソフトウェアサプライチェーン攻撃では、攻撃者が正規パッケージを改ざんするか、似た名前のパッケージを公開して開発者のタイプミスを待つ必要があった。HalluSquattingはその前提を変える。攻撃者が狙うのは人間のミスではなく、AIの「確信を持った間違い」だ。エージェントが高い確度で架空の名前を出力するほど、攻撃の成功率は上がる。
成功率85〜100%という現実
研究者らはこの手法を複数のAIコーディングツールで検証した。対象はGitHub Copilot、Google Gemini CLI、Cursorのほか、OpenClaw、NanoClaw、Windsor(いずれも比較的知名度の低いAIコーディング支援ツール)と幅広い。
結果は厳しいものだった。
- リポジトリの架空名をハルシネーションさせる成功率:85%
- スキルインストールにおける成功率:100%
研究者はこれらの数値について「攻撃者が実際にできることの下限にすぎない。攻撃は常に改善される。悪化することはない」と明記している。
「トレンド中のリソース」を標的にするのも攻撃者にとって合理的な選択だ。人気の高いリソースはリクエスト数が多い上、最近アップロードされたものはLLMの学習データに含まれていないため、ハルシネーション率が高くなる傾向がある。
「プロンプトウェア」との複合攻撃
HalluSquattingはAIエージェントへの直接的な攻撃経路(メールやカレンダー招待を使ったプロンプトインジェクションなど)を必要としない点が特徴だ。研究者はこれを「プロンプトウェアのキルチェーン」と「従来型マルウェアのキルチェーン」を組み合わせた手法と説明している。
攻撃の流れは以下の通りだ。
- 敵対的なプロンプトをLLMアプリケーションに注入し、エージェントを乗っ取る
- エージェントがターミナルを通じて悪意あるボットをインストールする(プロンプトウェアのフェーズ)
- インストールされたボットはその後、AIモデルを使わずに独立して悪意ある活動を行う(従来型マルウェアのフェーズ)
結果として、攻撃者はAIエージェントを踏み台にしたボットネットを構築できる。
AIコーディングエージェントへの攻撃は増加傾向
この手法は単独の脅威ではなく、AIエージェントを標的とした攻撃手法の広がりの一部だ。間接的プロンプトインジェクション(ウェブサイトや文書内に悪意ある指示を埋め込み、エージェントに正当な命令と誤認させる手法)もすでに実証されており、MozillaがAIコーディングエージェントにおける危険性を示している。
GitHub CopilotやCursorなどのAIコーディングエージェントの利用が急速に普及する中、エージェントが「自律的に」実行する操作——パッケージの取得、コマンドの実行、ウェブへのアクセス——それぞれがリスクの接点になりうる。エージェントを使う開発者は、インストール前にパッケージの実在確認を手動で挟むといった運用上の対策が現実的な選択肢になる。
詳細は'HalluSquatting' Compromises AI Coding Agents to Install Malware, Create Botnetsを参照していただきたい。