AI 编码助手不会说“不”,这是它们最致命的缺陷。
当一个开发者告诉 Cursor “clone 那个最近很火的仓库”、让 GitHub Copilot “安装这个 skill”,或者用 Gemini CLI “下载那个工具”时,大语言模型不会承认自己不知道这个资源在哪。它会,或者说,它不得不编造一个位置。而且编造得还挺自信。
现在,安全研究人员发现了一个令人不安的事实:你不仅可以预测 LLM 会编造什么,还可以利用这一点,反过来攻击每一台信任这些 AI 编码助手的电脑。
一种名为 HalluSquatting 的新攻击
7月8日,安全研究人员公布了一种名为 HalluSquatting(对抗性幻觉域名抢注)的全新攻击方式。这个古怪名字的背后,是一个让整个 AI 编码工具行业坐立不安的发现。
研究人员测试了市面上最主流的 9 款 AI 编码助手——Cursor、Cursor CLI、Gemini CLI、Windsurf、GitHub Copilot、Cline、OpenClaw、ZeroClaw 和 NanoClaw——发现它们全都存在同一个根本性缺陷:当用户要求它们从远程仓库获取代码或资源时,底层 LLM 以极高的概率生成一个不存在的、虚假的资源位置。
具体来说,当开发者让 AI 编码助手克隆一个热门仓库时,LLM 把位置搞错的概率高达 85%。而当涉及克隆一个流行的 skill(一种为 AI Agent 提供能力的指令集或脚本)时,幻觉率达到了 100%。
更糟的是,这些幻觉不是随机的。研究团队测试了六大主流 LLM 模型——Gemini-2.5-flash、Gemini-2.5-pro、GPT-5.1、GPT-5.2、Sonnet-4.5、Opus-4.5——发现它们在解析仓库或技能名称时遵循高度相似的幻觉模式。这意味着攻击者可以提前预测 LLM 最可能虚构哪些名称,然后抢注这些名称对应的仓库地址,在里面植入恶意代码。
这就是 HalluSquatting 的核心机制:先计算 LLM 会幻觉什么,再在它幻觉的位置埋下陷阱。一旦 AI 编码助手按照指令去下载资源,恶意代码就会自动执行——安装反向 shell、窃取权限、将当前设备纳入一个巨大的僵尸网络。
论文明确展示了攻击者如何通过这种方式,组建用于 DDoS 攻击、加密货币挖矿和大规模勒索软件分发的 botnet。这是提示注入攻击首次实现规模化。过去提示注入只能针对单个受害者的邮件或日历邀请(push 型),或者需要受害者主动访问恶意网站(pull 型),两种方式都无法大规模生效。HalluSquatting 改变了这一切。攻击者只需注册一批预判好的假资源,坐等 AI 编码助手自动撞上门来。
“这种攻击的可扩展性,使攻击者能够以最小精力攻陷大量用户,”研究人员在论文中写道,“通过利用 Agent 应用中集成的 shell 和终端来运行脚本和代码,攻击者可以在注册的资源中嵌入安装反向 shell 的指令,从而有效感染大量独立的 Agent 应用。”
从 Typosquatting 到 HalluSquatting,攻击范式的根本转移
要理解 HalluSquatting 的可怕之处,需要先回顾它的前辈——Typosquatting。
2016 年,一名大学生向 PyPI、RubyGems 和 NPM 仓库上传了 214 个恶意包,每个包的名字都极其接近某个流行库的拼写。结果:这些冒牌代码在超过 17,000 个独立域名上被执行了 45,000 次以上,其中超过一半获得了管理员权限。此后,Typosquatting 攻击在 npm、PyPI 等生态中屡禁不止。根据 Sonatype 2026 年 Q1 报告,自 2017 年以来,开源注册中心累计记录的恶意包已超过 134.6 万个,仅 2025 年一年就新增了 45.4 万个。
但 Typosquatting 有一个天然瓶颈:它依赖人类的失误。开发者必须自己拼错名字、手滑输错,才会中招。这个“人因门槛”限制了攻击的规模化效率。
HalluSquatting 把这个瓶颈拆掉了。它不依赖人犯错,而是利用机器本身的缺陷——LLM 不会说“我不知道”,所以它必须编造答案。人可能 0.1% 的概率手滑,但 LLM 在某些场景下的幻觉率是 85% 甚至 100%。机器犯错,机器执行,机器中招,全程不需要人类的参与。
这不仅仅是攻击方式升级,更是一次攻击范式的根本转移。传统供应链攻击的核心是欺骗开发者。HalluSquatting 的核心是欺骗开发者的 AI 助手,而后者的可信度往往被用户过度信赖,因为它是一个看起来智能的工具。
幻觉的模式化问题
研究中最具冲击力的发现可能不是“LLM 会幻觉”,而是“LLM 的幻觉是可预测的模式化行为”。
六大主流 LLM——来自 OpenAI、Google、Anthropic——在解析相同资源名称请求时,产出的错误位置高度趋同。这意味着攻击者可以用一套自动化脚本,批量探测所有主流模型,建立一个高频幻觉仓库名称数据库,然后大规模抢注。这些已抢注的恶意资源在注册后处于静默潜伏状态,直到某个 AI 编码助手在日常工作中偶然调用它。
Zenity CTO Michael Bargury 对此的评论一针见血:“这就像 typosquatting,是一个不会消失的问题。归根结底,这取决于我们赋予 Agent 多大程度的自动化权限。它们总会有办法被欺骗,这是我们必须接受的假设,我们的防御系统也应该具备弹性。”
当 Agent 的自动化权限成为双刃剑
HalluSquatting 之所以能从有趣的安全发现变成可操作的攻击武器,根本原因在于 AI 编码助手已经不再是过去的智能补全工具,它们拥有极高权限。
2026 年的 AI 编码助手市场已膨胀至 128 亿美元的规模。GitHub Copilot 拥有 470 万付费用户,Cursor 年化收入达到 20 亿美元、付费用户超过 100 万。这些工具现在能够直接访问命令行、读写文件系统、安装软件包、执行脚本。它们不再只是帮你写代码,它们在替你操作整个开发环境。
Phoenix Security 的追踪数据显示,供应链攻击的加速曲线令人心惊:2024 年全年记录到 6 起攻击活动、30 个恶意包;2025 年上升到 14 起、111 个恶意包;而 2026 年仅上半年就有 37 起攻击活动、497 个恶意包,半年就达到 2025 年全年的 4.5 倍。这些攻击活动无一例外地利用了零 CVE 的信任滥用作为突破口。Snyk 对 Agent Skills 生态的首次安全审计更触目惊心:扫描的 3,984 个 skill 中,36.82%(1,467 个)存在至少一处安全漏洞,从硬编码 API 密钥到凭证泄露再到恶意第三方内容加载,其中 76 个确认包含活跃恶意载荷。
这意味着:如果一个攻击者通过 HalluSquatting 成功感染了开发者的 AI 编码助手,他们获得的不仅仅是一台被控制的电脑,而是进入这家公司整个代码供应链的后门。所有通过该开发者电脑提交的代码、部署的包、更新的库,都可能被暗插后门。
为什么 LLM 就是不能学会说“我不知道”?
这个问题指向了 LLM 架构的核心矛盾。生成式模型的本质是接续预测,给定上文,输出最可能的下文。当用户问“这个仓库在哪里”时,模型无法输出“我不知道”,因为“我不知道”在概率分布中从来不是最优选。模型的训练目标让它宁可选一个很可能是错的但看起来像模像样的答案,也不愿承认无知。
这不是一个可以通过打补丁解决的问题。六大主流 LLM 无一幸免,包括最新版本的 GPT-5.x、Claude Opus-4.5 和 Gemini-2.5 系列。这意味着 HalluSquatting 不是某个特定模型的 bug,而是整个生成式 AI 范式的 feature,一个不想要的、但内嵌在架构中的 feature。
三条绝不乐观的推演
推演一:AI 编码工具的规模化采用正在扩大攻击面
2026 年,85% 的开发者使用 AI 编码工具,73% 的开发者日常使用。GitHub Copilot 的付费用户数超过 470 万,Cursor 付费用户超过 100 万。70% 的工程师同时使用 2 到 4 款不同的 AI 编码工具,15% 使用 5 款以上。这意味着当一次 HalluSquatting 攻击事件发生,其理论影响面是所有这些工具和用户的乘积,而不是某个单一工具的漏洞范围。
推演二:供应链攻击的效率将出现质的跃升
传统供应链攻击的投放环节依赖社工、钓鱼或漏洞利用,成本高、周期长。HalluSquatting 把投放变成了一次性的占坑行为:你只需要预测一批高频幻觉名称、注册、植入 payload,剩下的交给 AI 编码助手的日常操作去自动传播。攻击者把前期成本从持续投放变成了资产持有,类似于购买域名等待流量自然增长的 SEO 黑帽思路。
推演三:缓解方案存在结构性障碍
研究人员并非没有提出缓解方案,比如让 LLM 在资源解析时进行交叉验证、引入人类确认、使用加固的依赖解析器。但这些方案都有结构性瓶颈。
交叉验证需要实时的外部 API 调用,增加延迟,降低开发者体验,而体验是这些工具的核心卖点。人类确认破坏了自动化的承诺:如果每次 clone 都要手动确认位置,那 Agent 的意义何在?依赖解析器加固只能缓解已知的恶意包,对源源不断新注册的资源效果有限。
独立安全研究员 Johann Rehberger 指出,这次研究的核心贡献是“找到了一种让模型更可能使用或混淆的资源名称的技术。这意味着大量 Agent 在现实中可能中招。”问题的本质在于:只要 LLM 无法可靠地说“我不知道”,只要 Agent 拥有执行命令的权限,HalluSquatting 的变种就会不断出现。
AI 的便利性,正在成为安全的阿喀琉斯之踵
AI 编码工具厂商们热衷于宣传这些平台如何极大提升生产效率,节省时间、自动化繁琐任务、让开发者专注于创意。它们对一些根本性缺陷则保持沉默,比如 LLM 不能可靠地定位外部资源的准确位置。
AI 编码助手会说多种语言,精通无数框架,唯独不会说那句最简单的话——“我不知道”。而黑客正在利用这个“不会”,组建史上最庞大的代码级僵尸网络。






快报