黑客可利用9种最流行AI工具组建大规模僵尸网络

Ars Technica 新闻

摘要

研究人员设计了一种名为HalluSquatting的基于拉取的提示注入攻击,利用AI编程助手易出现资源标识符幻觉的特点,从而能够组建大规模僵尸网络并发起大规模攻击。

<p>在AI安全的短暂历史中,提示注入已迅速成为头号威胁。大型语言模型天生无法区分用户提供的合法指令与隐藏在模型正在处理的电子邮件、源代码及其他第三方内容中的恶意指令。这使得悄悄注入恶意命令变得轻而易举,而LLM会轻易执行这些命令。</p> <p>由于无法在可信与不可信来源之间强制执行这一关键边界,AI引擎开发者只能通过设置精心设计的护栏来减轻损害,而非解决根本原因。</p> <p>迄今为止,大多数提示注入属于被称为‘推送’的类别,即针对每个潜在受害者。例如,攻击者将恶意指令注入个人电子邮件或日历邀请中。由于注入必须发送(或推送)到每个特定目标,攻击规模受到限制,从而阻碍了大规模利用互联网的广泛攻击。</p><p><a href="https://arstechnica.com/security/2026/07/hackers-can-use-9-of-the-most-popular-ai-tools-to-assemble-massive-botnets/">阅读全文</a></p> <p><a href="https://arstechnica.com/security/2026/07/hackers-can-use-9-of-the-most-popular-ai-tools-to-assemble-massive-botnets/#comments">评论</a></p>
查看原文
查看缓存全文

缓存时间: 2026/07/08 08:17

# 黑客可利用9款最热门AI工具组建大规模僵尸网络 来源:https://arstechnica.com/security/2026/07/hackers-can-use-9-of-the-most-popular-ai-tools-to-assemble-massive-botnets/ 在AI安全的短暂历史中,提示注入迅速成为首要威胁。大型语言模型天生无法区分用户提供的合法指令与嵌入在邮件、源代码及其他第三方内容中的恶意指令——这些内容正是模型正在处理的。这使得攻击者可以轻而易举地偷偷注入恶意命令,而LLM会毫无察觉地执行。 由于无法在可信与不可信来源之间建立这一关键边界,AI引擎开发者只能搭建复杂的防护栏,旨在减轻损害而非解决根本原因。 迄今为止,大多数提示注入都属于所谓的"推送式"攻击,即针对每个潜在受害者。例如,攻击者将恶意指令注入单个邮件或日历邀请。由于必须将注入内容逐一发送(或推送)给每个特定目标,攻击规模受到限制,阻碍了大规模互联网级利用。 与此同时,"拉取式"攻击——即LLM主动寻找被植入网站上的对抗性提示——仍然有限。由于无法引诱大量LLM访问恶意网站,这类攻击同样难以规模化。 ## HalluSquatting登场 如今,研究人员设计出一种改变局面的拉取式攻击。这种被命名为HalluSquatting的新攻击有望组建大规模僵尸网络、实施大规模DDoS攻击以及大规模感染设备——这在提示注入攻击中尚属首次。该攻击针对包括Cursor、Cursor CLI、Gemini CLI、Windsurf、GitHub Copilot、Cline、OpenClaw、ZeroClaw及NanoClaw在内的AI编码助手与代理,所有这些工具均易受攻击。在日常操作中,这些助手与代理会经常从仓库和注册表中拉取代码及其他资源。 [](https://cdn.arstechnica.net/wp-content/uploads/2026/07/hallusquatting-threat-model.png) HalluSquatting威胁模型。 图片来源:Spira 等 HalluSquatting(全称"对抗性幻觉蹲守")建立在LLM固有的倾向之上——即幻觉出托管在仓库和注册表中的资源标识符。它针对编码代理和助手生效,这些工具通常访问高权限命令行来运行来自第三方资源的代码。通过预测LLM最可能幻觉的标识符,然后注册这些标识符并植入安装反向shell或其他恶意软件的指令,该攻击可以不针对单个设备,从而不加区分地大规模感染海量设备。

相似文章

Google 警告称网络犯罪分子正利用 AI 制造强大的黑客工具

Reddit r/artificial

Google 警告称,网络犯罪分子和国家级攻击者正越来越多地利用 AI 快速开发复杂的黑客工具,其中包括首个已确认的由 AI 生成的零日漏洞利用。该报告强调了 AI 如何降低网络攻击的技术门槛,使得即使是低技能黑客也能执行复杂操作。

谷歌DeepMind研究人员揭示黑客劫持AI代理的多种方式

Reddit r/artificial

谷歌DeepMind研究人员发表了一篇题为'AI Agent Traps'的论文,该论文描绘了黑客用于劫持自主AI代理的六种攻击类型,包括content injection、semantic manipulation和behavioral control traps,并提出了分层防御措施。

2000人试图攻击我的AI助手后发生了什么

Hacker News Top

一个名为Fiu的AI助手,基于OpenClaw和Claude Opus 4.6构建,经受住了来自2000人的超过6000次基于电子邮件的提示注入攻击,且未泄露其秘密。该实验突显了模型级别提示注入防御的有效性以及成本/运营挑战。