ICP·Devآی‌سی‌پی‌·دِو
بازگشت به مقالات
عوامل هوش مصنوعی۲۱ تیر ۱۴۰۵4 دقیقه مطالعه

هلواسکواتینگ: چگونه هکرها از توهمات کدنویسی هوش مصنوعی برای ساخت بات‌نت‌های عاملی استفاده می‌کنند

یک بردار حمله نوآورانه به نام «هلواسکواتینگ» (HalluSquatting) تمایل دستیارهای کدنویسی هوش مصنوعی به توهم پکیج‌ها را به یک اکسپلویت اجرای کد از راه دور تبدیل می‌کند. مهاجمان با ثبت پیشاپیش مخازن جعلی پیش‌بینی‌شده، می‌توانند سیستم‌های خودگردانی مانند Cursor، Gemini CLI و GitHub Copilot را برای تشکیل بات‌نت‌های جهانی بربایند.

نکات کلیدی

  • یک بردار حمله نوآورانه به نام «هلواسکواتینگ» (HalluSquatting) تمایل دستیارهای کدنویسی هوش مصنوعی به توهم پکیج‌ها را به یک اکسپلویت اجرای کد از راه دور تبدیل می‌کند
  • مهاجمان با ثبت پیشاپیش مخازن جعلی پیش‌بینی‌شده، می‌توانند سیستم‌های خودگردانی مانند Cursor، Gemini CLI و GitHub Copilot را برای تشکیل بات‌نت‌های جهانی بربایند
اشتراک‌گذاری
هلواسکواتینگ: چگونه هکرها از توهمات کدنویسی هوش مصنوعی برای ساخت بات‌نت‌های عاملی استفاده می‌کنند

هلواسکواتینگ: چگونه هکرها از توهمات کدنویسی هوش مصنوعی برای ساخت بات‌نت‌های عاملی استفاده می‌کنند

سال‌هاست که پژوهشگران امنیت سایبری درباره خطرات اعطای دسترسی‌های اجرای مستقیم به مدل‌های زبانی بزرگ (LLM) روی سیستم‌های فایل محلی و ترمینال‌ها هشدار می‌دهند. اکنون، یک روش حمله نوآورانه به نام هلواسکواتینگ (HalluSquatting - کوتاه‌شده عبارت اسکواتینگ توهم آمیخته با دشمنی) این هشدارهای تئوریک را به یک بحران امنیتی فعال و بسیار مقیاس‌پذیر تبدیل کرده است.

این بردار حمله جدید که توسط پژوهشگرانی از دانشگاه تل‌آویو، تکنیون و اینتوئیت (Intuit) رونمایی شده است، از یک نقص اساسی در محدودیت‌های شناختی مدل‌های زبانی بزرگ سوءاستفاده می‌کند. مهاجمان با سلاح‌سازی از الگوهای قابل پیش‌بینی توهم هوش مصنوعی در نام‌گذاری پکیج‌ها، مخازن و پلاگین‌ها، می‌توانند عوامل خودگردان کدنویسی را فریب دهند تا بدافزارها را دانلود کنند؛ اقدامی که عملاً بدون نیاز به دسترسی مستقیم به سیستم، بات‌نت‌های عظیم و ناهمگونی را ایجاد می‌کند.


کالبدشکافی یک حمله هلواسکواتینگ

برخلاف حملات سنتی تزریق دستور «مبتنی بر ارسال» (push-based) که به تعامل مستقیم با هدف نیاز دارند (مانند ارسال یک ایمیل مخرب یا اعلان پیام)، هلواسکواتینگ کاملاً مبتنی بر دریافت (pull-based) و غیرهدفمند است. این حمله بر پایه پیش‌بینی‌پذیری ریاضی خطاهای مدل‌های زبانی بزرگ استوار است.

هنگامی که یک برنامه‌نویس از دستیار هوش مصنوعی می‌خواهد تا یک کتابخانه کد جدیداً منتشرشده، ترند یا مبهم را دریافت کند، مدل اغلب به دلیل نبود این منبع در داده‌های آموزش آفلاین خود دچار مشکل می‌شود. هوش مصنوعی به جای اعتراف به بی‌اطلاعی، یک شناسه پکیج یا مخزنِ به ظاهر منطقی را جعل (توهم) می‌کند.

این حمله در چهار مرحله ظریف و نگران‌کننده اجرا می‌شود:

  1. شناسایی و جستجو: مهاجم ابزارهای نرم‌افزاری ترند، مخازن یا «مهارت‌های» توسعه‌دهنده هوش مصنوعی را شناسایی می‌کند. آن‌ها بارها از مدل‌های زبانی مختلف پرس‌وجو می‌کنند تا نام‌های غیرواقعی دقیقی را که هوش مصنوعی هنگام تلاش برای واکشی این منابع توهم می‌کند، مشاهده و ثبت کنند.
  2. تصاحب توهم (اسکواتینگ): مهاجم این نام‌های جعلی پیش‌بینی‌شده را در پلتفرم‌های عمومی مانند گیت‌هاب یا رجیستری‌های پکیج (npm، PyPI) ثبت می‌کند.
  3. کاشت محموله مخرب: مهاجم مخزن مخرب را آپلود کرده و دستورالعمل‌های غیرمستقیم خصمانه (تزریق دستور) یا اسکریپت‌های محموله خام را در آن جاسازی می‌کند.
  4. شروع ربایش: یک توسعه‌دهنده بی‌خبر از دستیار محلی هوش مصنوعی خود (مانند Cursor، Windsurf، GitHub Copilot، Gemini CLI یا Cline) می‌خواهد ابزار ترند را نصب یا کلون کند. هوش مصنوعی نام توهم‌شده و ثبت‌نشده قبلی را فراخوانی می‌کند، مخزن مخرب را دانلود می‌نماید، دستورالعمل‌های جاسازی‌شده را می‌خواند و آن‌ها را بی‌صدا در ترمینال محلی اجرا می‌کند.

A detailed 2D technical diagram showing the flow o...


تهدید در حال ظهور: «بات‌نت عاملی»

هدف نهایی یک کمپین هلواسکواتینگ، ایجاد یک بات‌نت عاملی (Agentic Botnet) است. هنگامی که دستیار ربوده‌شده کد مهاجم را اجرا می‌کند، معمولاً یک شل معکوس (reverse shell) ایجاد می‌کند که کنترل خط فرمان را از راه دور به عامل تهدید اعطا می‌نماید.

از آنجایی که عوامل برنامه‌نویسی مدرن در خط فرمان محلی با دسترسی‌های سطح بالای کاربری کار می‌کنند، مهاجمان می‌توانند به راحتی بدافزارهای پایدار نصب کنند، رمزهای عبور را بربایند، اطلاعات حساس را به سرقت ببرند یا دستگاه را به عضویت یک بات‌نت حملات محروم‌سازی از سرویس توزیع‌شده (DDoS) درآورند.

ابعاد این آسیب‌پذیری تکان‌دهنده است. پژوهشگران گزارش داده‌اند که دستیارهای هوش مصنوعی در مواجهه با منابع جدید، تا ۸۵٪ مواقع دچار توهم مخازن غیرموجود می‌شوند و این نرخ برای نصب مهارت‌های عاملی جدیدتر به رقم خیره‌کننده ۱۰۰٪ می‌رسد. افزون بر این، از آنجا که مدل‌های پایه مختلف (مانند GPT، Claude و Gemini) از روش‌های توکنایزیشن و نام‌گذاری مشابهی استفاده می‌کنند، آن‌ها اغلب نام‌های جعلی کاملاً یکسانی را توهم می‌کنند؛ این امر به مهاجم اجازه می‌دهد با ثبت تنها یک مخزن، کاربران چندین پلتفرم مختلف را به دام بیندازد.


چه کسانی تحت تأثیر قرار می‌گیرند؟

پژوهشگران انواع برنامه‌های محبوب برنامه‌نویسی مبتنی بر ترمینال را آزمایش کردند. در حالت‌های خودگردان یا نیمه‌خودگردان که بررسی انسانی نادیده گرفته می‌شود:

  • OpenClaw (و نسخه‌های مشتق آن یعنی ZeroClaw/NanoClaw): آسیب‌پذیری تقریباً کاملی را با نرخ موفقیت ۸۰٪ تا ۱۰۰٪ نشان دادند.
  • Cursor، Windsurf، Gemini CLI و GitHub Copilot: اگرچه این ابزارها بستر بیشتری برای مداخله برنامه‌نویس حفظ می‌کنند، اما همچنان در ۲۰٪ تا ۳۵٪ مواقع قربانی این اکسپلویت شدند.

چگونه از محیط‌های توسعه خود محافظت کنیم

تا زمانی که توسعه‌دهندگان IDE و CLI تدابیر امنیتی پیش‌فرضی را ارائه دهند، تیم‌های امنیتی باید به طور فعال از محیط‌های خود دفاع کنند:

  • غیرفعال کردن حالت‌های «تأیید خودکار» / خودگردان: هرگز به یک عامل هوش مصنوعی اجازه ندهید دستورات ترمینال (به ویژه git clone، npm install یا اجرای ابزارها) را بدون تأیید دستی و انسانی اجرا کند.
  • پیاده‌سازی لیست‌های مجاز رجیستری: محیط‌های توسعه را طوری پیکربندی کنید که فقط از میرورهای داخلی قابل اعتماد یا فضاهای نام تایید شده سازمان در رجیستری‌های عمومی استفاده کنند.
  • جستجو پیش از فراخوانی: نسخه‌های آینده هوش مصنوعی باید به گونه‌ای طراحی شوند که پیش از تلاش برای بازیابی خودکار، جستجوهای زنده وب یا پایگاه داده را برای «راستی‌آزمایی زمینه‌ای» نام‌ها انجام دهند. اگر مخزن با نام درخواستی وجود ندارد، عامل باید به جای حدس زدن، با ایمنی متوقف شود.

برچسب‌ها

#عوامل هوش مصنوعی#امنیت سایبری#GitHub Copilot#Cursor#Gemini CLI#تزریق دستور

منابع و ارجاعات مستند

پیشنهاد مطالعه بعدی

رقابت برای عرضه اولیه در حوزه ربات‌های انسان‌نما: ادغام ۲.۵ میلیارد دلاری اجیلیتی در نزدک در مقابل عرضه ۵.۹ میلیارد دلاری یونی‌تری در بازار STAR
رقابت برای عرضه اولیه در حوزه ربات‌های انسان‌نما: ادغام ۲.۵ میلیارد دلاری اجیلیتی در نزدک در مقابل عرضه ۵.۹ میلیارد دلاری یونی‌تری در بازار STAR
۲۱ تیر4 دقیقه

رقابت برای عرضه اولیه در حوزه ربات‌های انسان‌نما: ادغام ۲.۵ میلیارد دلاری اجیلیتی در نزدک در مقابل عرضه ۵.۹ میلیارد دلاری یونی‌تری در بازار STAR

خوشتان آمد؟ مقاله بعدی را بگیرید

در خبرنامه عضو شوید تا راهنمای بعدی در ایمیلتان باشد — بدون مزاحمت، لغو عضویت در هر زمان.