
セキュリティ研究者らは、大規模言語モデルの最もよく知られた弱点、幻覚を起こす傾向を悪用し、ボットネット構築の自動化ベクターとする新たな攻撃手法「HalluSquatting」を公開した。
この攻撃は生成AIの基本的な性質を利用する。モデルが学習していないツールやライブラリ、パッケージについて質問されると、無知を認める代わりにもっともらしい名前やドキュメントをでっち上げることが多い。攻撃者はモデルを知識のギャップに誘導するプロンプトを作成し、AIが発明したドメイン名やパッケージリポジトリを登録する。モデルの推奨に従って行動する開発者やAIエージェントが幻覚パッケージをインストールしようとすると、攻撃者が制御するマルウェアをダウンロードすることになる。
攻撃の仕組み
HalluSquattingは単一のAIツールではなく、主要な言語モデルすべてに共通する基盤となる行動パターンを標的とする。攻撃者はモデルに対して「ネットワークスキャン用の人気Pythonライブラリを3つ挙げて」などと依頼する。モデルは「pyscanner-pro」のようなもっともらしいライブラリ名と、正当なリポジトリURLを生成する。攻撃者はそのドメインを登録し、悪意のあるパッケージを公開する。
この攻撃はエージェンティックAI、つまり自律的に依存関係をインストールし、コマンドを実行し、ドキュメントの指示に従うコーディングアシスタントにおいて特に危険となる。幻覚パッケージ経由のインストールを提案するプロジェクトREADMEを読んだエージェントが、人間の確認なしにコマンドを実行すると、攻撃者に開発者のマシンへのリモートアクセスを許す可能性がある。
範囲と深刻度
7月8日に攻撃を開示した研究者らによると、広く使用されている9つの商用およびオープンソースLLMがこの手法に対して脆弱である。この攻撃はソフトウェアのバグを悪用するものではなく、知識が不足している場合でも役立つように生成を行うという、モデルの学習された行動を悪用するものである。
自動化の可能性は大きい。攻撃者は数分で数千の幻覚パッケージ名を生成し、対応するドメインを登録し、被害者がそれらをインストールするのを待つことができる。ボットネットはユーザー自身によって構築され、各ユーザーがAIの推奨する悪意のあるコードを自発的にインストールする。
対策としては、エージェンティックツールにおけるパッケージインストールコマンドへの人間の承認要求、依存関係インストール前の公開元ID確認、AIコーディングアシスタントにおける自律的なコマンド実行の無効化などが挙げられる。
雅子 訳
出典: Celloraa(2026年7月8日); Tom’s Hardware(2026年7月8日)

