هلواسکواتینگ: چگونه هکرها از توهمات کدنویسی هوش مصنوعی برای ساخت باتنتهای عاملی استفاده میکنند
یک بردار حمله نوآورانه به نام «هلواسکواتینگ» (HalluSquatting) تمایل دستیارهای کدنویسی هوش مصنوعی به توهم پکیجها را به یک اکسپلویت اجرای کد از راه دور تبدیل میکند. مهاجمان با ثبت پیشاپیش مخازن جعلی پیشبینیشده، میتوانند سیستمهای خودگردانی مانند Cursor، Gemini CLI و GitHub Copilot را برای تشکیل باتنتهای جهانی بربایند.
نکات کلیدی
- • یک بردار حمله نوآورانه به نام «هلواسکواتینگ» (HalluSquatting) تمایل دستیارهای کدنویسی هوش مصنوعی به توهم پکیجها را به یک اکسپلویت اجرای کد از راه دور تبدیل میکند
- • مهاجمان با ثبت پیشاپیش مخازن جعلی پیشبینیشده، میتوانند سیستمهای خودگردانی مانند Cursor، Gemini CLI و GitHub Copilot را برای تشکیل باتنتهای جهانی بربایند

هلواسکواتینگ: چگونه هکرها از توهمات کدنویسی هوش مصنوعی برای ساخت باتنتهای عاملی استفاده میکنند
سالهاست که پژوهشگران امنیت سایبری درباره خطرات اعطای دسترسیهای اجرای مستقیم به مدلهای زبانی بزرگ (LLM) روی سیستمهای فایل محلی و ترمینالها هشدار میدهند. اکنون، یک روش حمله نوآورانه به نام هلواسکواتینگ (HalluSquatting - کوتاهشده عبارت اسکواتینگ توهم آمیخته با دشمنی) این هشدارهای تئوریک را به یک بحران امنیتی فعال و بسیار مقیاسپذیر تبدیل کرده است.
این بردار حمله جدید که توسط پژوهشگرانی از دانشگاه تلآویو، تکنیون و اینتوئیت (Intuit) رونمایی شده است، از یک نقص اساسی در محدودیتهای شناختی مدلهای زبانی بزرگ سوءاستفاده میکند. مهاجمان با سلاحسازی از الگوهای قابل پیشبینی توهم هوش مصنوعی در نامگذاری پکیجها، مخازن و پلاگینها، میتوانند عوامل خودگردان کدنویسی را فریب دهند تا بدافزارها را دانلود کنند؛ اقدامی که عملاً بدون نیاز به دسترسی مستقیم به سیستم، باتنتهای عظیم و ناهمگونی را ایجاد میکند.
کالبدشکافی یک حمله هلواسکواتینگ
برخلاف حملات سنتی تزریق دستور «مبتنی بر ارسال» (push-based) که به تعامل مستقیم با هدف نیاز دارند (مانند ارسال یک ایمیل مخرب یا اعلان پیام)، هلواسکواتینگ کاملاً مبتنی بر دریافت (pull-based) و غیرهدفمند است. این حمله بر پایه پیشبینیپذیری ریاضی خطاهای مدلهای زبانی بزرگ استوار است.
هنگامی که یک برنامهنویس از دستیار هوش مصنوعی میخواهد تا یک کتابخانه کد جدیداً منتشرشده، ترند یا مبهم را دریافت کند، مدل اغلب به دلیل نبود این منبع در دادههای آموزش آفلاین خود دچار مشکل میشود. هوش مصنوعی به جای اعتراف به بیاطلاعی، یک شناسه پکیج یا مخزنِ به ظاهر منطقی را جعل (توهم) میکند.
این حمله در چهار مرحله ظریف و نگرانکننده اجرا میشود:
- شناسایی و جستجو: مهاجم ابزارهای نرمافزاری ترند، مخازن یا «مهارتهای» توسعهدهنده هوش مصنوعی را شناسایی میکند. آنها بارها از مدلهای زبانی مختلف پرسوجو میکنند تا نامهای غیرواقعی دقیقی را که هوش مصنوعی هنگام تلاش برای واکشی این منابع توهم میکند، مشاهده و ثبت کنند.
- تصاحب توهم (اسکواتینگ): مهاجم این نامهای جعلی پیشبینیشده را در پلتفرمهای عمومی مانند گیتهاب یا رجیستریهای پکیج (npm، PyPI) ثبت میکند.
- کاشت محموله مخرب: مهاجم مخزن مخرب را آپلود کرده و دستورالعملهای غیرمستقیم خصمانه (تزریق دستور) یا اسکریپتهای محموله خام را در آن جاسازی میکند.
- شروع ربایش: یک توسعهدهنده بیخبر از دستیار محلی هوش مصنوعی خود (مانند Cursor، Windsurf، GitHub Copilot، Gemini CLI یا Cline) میخواهد ابزار ترند را نصب یا کلون کند. هوش مصنوعی نام توهمشده و ثبتنشده قبلی را فراخوانی میکند، مخزن مخرب را دانلود مینماید، دستورالعملهای جاسازیشده را میخواند و آنها را بیصدا در ترمینال محلی اجرا میکند.

تهدید در حال ظهور: «باتنت عاملی»
هدف نهایی یک کمپین هلواسکواتینگ، ایجاد یک باتنت عاملی (Agentic Botnet) است. هنگامی که دستیار ربودهشده کد مهاجم را اجرا میکند، معمولاً یک شل معکوس (reverse shell) ایجاد میکند که کنترل خط فرمان را از راه دور به عامل تهدید اعطا مینماید.
از آنجایی که عوامل برنامهنویسی مدرن در خط فرمان محلی با دسترسیهای سطح بالای کاربری کار میکنند، مهاجمان میتوانند به راحتی بدافزارهای پایدار نصب کنند، رمزهای عبور را بربایند، اطلاعات حساس را به سرقت ببرند یا دستگاه را به عضویت یک باتنت حملات محرومسازی از سرویس توزیعشده (DDoS) درآورند.
ابعاد این آسیبپذیری تکاندهنده است. پژوهشگران گزارش دادهاند که دستیارهای هوش مصنوعی در مواجهه با منابع جدید، تا ۸۵٪ مواقع دچار توهم مخازن غیرموجود میشوند و این نرخ برای نصب مهارتهای عاملی جدیدتر به رقم خیرهکننده ۱۰۰٪ میرسد. افزون بر این، از آنجا که مدلهای پایه مختلف (مانند GPT، Claude و Gemini) از روشهای توکنایزیشن و نامگذاری مشابهی استفاده میکنند، آنها اغلب نامهای جعلی کاملاً یکسانی را توهم میکنند؛ این امر به مهاجم اجازه میدهد با ثبت تنها یک مخزن، کاربران چندین پلتفرم مختلف را به دام بیندازد.
چه کسانی تحت تأثیر قرار میگیرند؟
پژوهشگران انواع برنامههای محبوب برنامهنویسی مبتنی بر ترمینال را آزمایش کردند. در حالتهای خودگردان یا نیمهخودگردان که بررسی انسانی نادیده گرفته میشود:
- OpenClaw (و نسخههای مشتق آن یعنی ZeroClaw/NanoClaw): آسیبپذیری تقریباً کاملی را با نرخ موفقیت ۸۰٪ تا ۱۰۰٪ نشان دادند.
- Cursor، Windsurf، Gemini CLI و GitHub Copilot: اگرچه این ابزارها بستر بیشتری برای مداخله برنامهنویس حفظ میکنند، اما همچنان در ۲۰٪ تا ۳۵٪ مواقع قربانی این اکسپلویت شدند.
چگونه از محیطهای توسعه خود محافظت کنیم
تا زمانی که توسعهدهندگان IDE و CLI تدابیر امنیتی پیشفرضی را ارائه دهند، تیمهای امنیتی باید به طور فعال از محیطهای خود دفاع کنند:
- غیرفعال کردن حالتهای «تأیید خودکار» / خودگردان: هرگز به یک عامل هوش مصنوعی اجازه ندهید دستورات ترمینال (به ویژه
git clone،npm installیا اجرای ابزارها) را بدون تأیید دستی و انسانی اجرا کند. - پیادهسازی لیستهای مجاز رجیستری: محیطهای توسعه را طوری پیکربندی کنید که فقط از میرورهای داخلی قابل اعتماد یا فضاهای نام تایید شده سازمان در رجیستریهای عمومی استفاده کنند.
- جستجو پیش از فراخوانی: نسخههای آینده هوش مصنوعی باید به گونهای طراحی شوند که پیش از تلاش برای بازیابی خودکار، جستجوهای زنده وب یا پایگاه داده را برای «راستیآزمایی زمینهای» نامها انجام دهند. اگر مخزن با نام درخواستی وجود ندارد، عامل باید به جای حدس زدن، با ایمنی متوقف شود.
برچسبها
منابع و ارجاعات مستند
پیشنهاد مطالعه بعدی

رقابت برای عرضه اولیه در حوزه رباتهای انساننما: ادغام ۲.۵ میلیارد دلاری اجیلیتی در نزدک در مقابل عرضه ۵.۹ میلیارد دلاری یونیتری در بازار STAR

هزینه رقابت هوش مصنوعی: نگاهی به تعدیل ۴,۸۰۰ نیرو در مایکروسافت و بازسازی رادیکال ایکسباکس

معرفی ChatGPT Work و GPT-5.6: سطوح کیهانی OpenAI عاملهای هوش مصنوعی با افق بلندمدت را آزاد میکنند
خوشتان آمد؟ مقاله بعدی را بگیرید
در خبرنامه عضو شوید تا راهنمای بعدی در ایمیلتان باشد — بدون مزاحمت، لغو عضویت در هر زمان.