HalluSquatting misbruikt de verzonnen adressen die AI-codeerassistenten zoals Cursor en GitHub Copilot opgeven wanneer een ontwikkelaar een populaire repository wil klonen, waarschuwen onderzoekers van de Universiteit van Tel Aviv, Technion en Intuit in een woensdag gepubliceerd paper. Een aanvaller registreert die niet-bestaande locatie vooraf en zet er kwaadaardige code neer.
Het risico raakt elk bedrijf waar ontwikkelaars zo'n coding-agent inzetten, niet alleen beveiligingsteams. Vraag je de assistent om een trending repository of een kant-en-klare skill binnen te halen, dan navigeert hij lang niet altijd naar de echte bron. Zit daar in plaats daarvan een door een aanvaller geclaimde variant, dan haalt de agent diens instructies op en voert een tool met terminalrechten die uit, zonder dat er nog een mens tussen zit.
Hoe de aanval werkt
De kern is dat een taalmodel de locatie van een bron niet betrouwbaar kan opgeven. Vraagt een ontwikkelaar om een populaire nieuwe repository te klonen, dan verzint het model tot 85 procent van de keren de verkeerde locatie; bij het installeren van een trending skill loopt dat op tot 100 procent. De aanval richt zich juist op nieuwe, populaire bronnen: die zaten nog niet in de trainingsdata en krijgen in korte tijd veel downloads.
Dat het om verse code gaat, is precies het probleem. Repositories van voor 2019 lost het model nog goed op, met een gemiddeld foutpercentage van 0,9 procent. Voor repositories uit 2025 schiet dat naar 92,4 procent. De misser is bovendien voorspelbaar: alle geteste modellen plakken de repositorynaam als eigenaar voor diezelfde naam, in de vorm naam/naam. Een aanvaller hoeft het model niet eens te bevragen om te weten welke adressen hij moet vastleggen.
Het team testte negen veelgebruikte AI-codeertools, waaronder Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot en Cline, draaiend op zes onderliggende modellen. Het patroon kwam overal terug.
Van hallucinatie naar botnet
Het gevaar zit in de agentische tools die scripts en commando's zelf mogen uitvoeren. Registreert een aanvaller een gehallucineerd adres en verstopt hij daarin instructies om een reverse shell te installeren, dan kan hij zo veel losse installaties tegelijk infecteren. "Toegang tot verspreide, door de aanvaller bestuurde rekenkracht opent de deur naar verschillende scenario's met grote impact", schrijven de onderzoekers: de gekaapte machines samenvoegen tot een botnet voor cryptomining of DDoS-aanvallen, of ransomware op grote schaal uitrollen.
Belangrijk: dit is voorlopig een aangetoond risico, geen waargenomen misbruik. De onderzoekers plaatsten voor hun demonstratie een onschuldige repository en skill, en meldden hun bevindingen vooraf bij de betrokken leveranciers, modelaanbieders en marktplaatsen. Onafhankelijk onderzoeker Johann Rehberger noemde de methode een scherpe herinnering dat de beloofde tijdwinst van AI-assistenten deels illusie is, zolang een gebruiker elke bronlocatie zelf moet nacontroleren.
HalluSquatting verplaatst de bekende slopsquatting-truc, waarbij aanvallers verzonnen pakketnamen registreren, van softwarepakketten naar repositories en skills. Het past in een reeks lekken die laten zien dat de AI-codeerketen zelf het aanvalsoppervlak wordt: zo bleken onlangs tien van de elf populaire open-source AI-codeeragents kwetsbaar voor shell-injecties via de GuardFall-methode, en doken er nep-SDK's van Paysafe en Skrill op npm en PyPI op die ontwikkelaarsgeheimen stelen. De rode draad: waar een agent zonder tussenstap code ophaalt en uitvoert, wordt een verzonnen naam of adres een reeel toegangspunt. Een zoekopdracht die de echte locatie verifieert voordat de agent iets binnenhaalt, is dan geen luxe maar de plek waar de verdediging begint.
Veelgestelde vragen
Agents met ingebouwde grenzen
Ik bouw agent- en automatiseringssystemen waarbij verificatie en beperkte rechten vanaf het ontwerp ingebakken zitten, niet als losse pleister achteraf. Van meedenken over de opzet tot bouwen en zelf hosten, zodat een verzonnen adres nooit zomaar code op je machine draait.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
