Skip to content

HalluSquatting: tehisintellekti koodiassistente saab manipuleerida pahavara installima

Lühidalt: Väljamõeldud, kuid registreeritud paketinimede abil saab tehisintellekti koodiassistente petta suunamaks kasutajaid pahavara installima.

Teadlased on tutvustanud ründetehnikat nimega HalluSquatting, mis kasutab ära tehisintellekti koodiassistentide kalduvust hallutsineerida: ründajad registreerivad väljamõeldud paketinimesid, mida tehisintellekt korduvalt välja mõtleb, ja meelitavad kasutajaid nii manipuleeritud tarkvara installima.

Tehisintellekti koodiassistendid loovad populaarsete tööriistade päringute peale mõnikord usutavaid nimesid projektidele, mida tegelikult ei eksisteeri. Uus ründetehnika HalluSquatting kasutab neid „hallutsinatsioone” sihipäraselt ära: ründajad tuvastavad väljamõeldud paketinimed, mida tehisintellekt usaldusväärselt korduvalt genereerib, registreerivad need nimed avalikes paketihoidlates ning ootavad, millal koodiassistent soovitab kasutajale just neid manipuleeritud pakette installimiseks.

Turvarisk peitub usaldusahelas: kasutajad järgivad tehisintellekti soovitusi sageli kriitikameelt kaotamata, eriti kui paketinimed tunduvad autentsed ja vestluse kontekst on usutav. Botnet-pahavara või mõne muu kahjuliku tarkvara variandiga registreeritud pakett käivitatakse siis suure tõenäosusega.

Infoturbejuhtidele (CISO) on see täiendav vektor tarneahela turvalisuses: kui seni on tähelepanu keskendunud sõltuvuste segiajamisele (dependency confusion) ja tüposkvottimisele, muutub nüüd oluliseks uus ründenurk — selline, mis kasutab ründepinnana otseselt tehisintellekti integreerimist arendusprotsessidesse. Probleem süveneb seda enam, mida tugevamalt on tehisintellekti koodiassistendid arendusmeeskondades juurdunud.


Allikas: thehackernews.com · Avaldatud 8. juulil 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse artiklile 50. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 poolt.

Share on: