Programmeercode in kleur op een computerscherm in een ontwikkelomgeving.
Nieuws9 juli · 06:104 min leestijd

HalluSquatting: aanvallers kapen de repositories die AI-codeertools verzinnen

Onderzoekers tonen aan hoe criminelen de niet-bestaande repositories en skills kunnen registreren die AI-codeerassistenten opgeven, en zo code op de machines van ontwikkelaars kunnen uitvoeren. Elk team dat een coding-agent gebruikt, loopt dit supply-chain-risico.

HalluSquatting misbruikt de verzonnen adressen die AI-codeerassistenten zoals Cursor en GitHub Copilot opgeven wanneer een ontwikkelaar een populaire repository wil klonen, waarschuwen onderzoekers van de Universiteit van Tel Aviv, Technion en Intuit in een woensdag gepubliceerd paper. Een aanvaller registreert die niet-bestaande locatie vooraf en zet er kwaadaardige code neer.

Het risico raakt elk bedrijf waar ontwikkelaars zo'n coding-agent inzetten, niet alleen beveiligingsteams. Vraag je de assistent om een trending repository of een kant-en-klare skill binnen te halen, dan navigeert hij lang niet altijd naar de echte bron. Zit daar in plaats daarvan een door een aanvaller geclaimde variant, dan haalt de agent diens instructies op en voert een tool met terminalrechten die uit, zonder dat er nog een mens tussen zit.

Hoe de aanval werkt

De kern is dat een taalmodel de locatie van een bron niet betrouwbaar kan opgeven. Vraagt een ontwikkelaar om een populaire nieuwe repository te klonen, dan verzint het model tot 85 procent van de keren de verkeerde locatie; bij het installeren van een trending skill loopt dat op tot 100 procent. De aanval richt zich juist op nieuwe, populaire bronnen: die zaten nog niet in de trainingsdata en krijgen in korte tijd veel downloads.

Dat het om verse code gaat, is precies het probleem. Repositories van voor 2019 lost het model nog goed op, met een gemiddeld foutpercentage van 0,9 procent. Voor repositories uit 2025 schiet dat naar 92,4 procent. De misser is bovendien voorspelbaar: alle geteste modellen plakken de repositorynaam als eigenaar voor diezelfde naam, in de vorm naam/naam. Een aanvaller hoeft het model niet eens te bevragen om te weten welke adressen hij moet vastleggen.

Het team testte negen veelgebruikte AI-codeertools, waaronder Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot en Cline, draaiend op zes onderliggende modellen. Het patroon kwam overal terug.

Van hallucinatie naar botnet

Het gevaar zit in de agentische tools die scripts en commando's zelf mogen uitvoeren. Registreert een aanvaller een gehallucineerd adres en verstopt hij daarin instructies om een reverse shell te installeren, dan kan hij zo veel losse installaties tegelijk infecteren. "Toegang tot verspreide, door de aanvaller bestuurde rekenkracht opent de deur naar verschillende scenario's met grote impact", schrijven de onderzoekers: de gekaapte machines samenvoegen tot een botnet voor cryptomining of DDoS-aanvallen, of ransomware op grote schaal uitrollen.

Belangrijk: dit is voorlopig een aangetoond risico, geen waargenomen misbruik. De onderzoekers plaatsten voor hun demonstratie een onschuldige repository en skill, en meldden hun bevindingen vooraf bij de betrokken leveranciers, modelaanbieders en marktplaatsen. Onafhankelijk onderzoeker Johann Rehberger noemde de methode een scherpe herinnering dat de beloofde tijdwinst van AI-assistenten deels illusie is, zolang een gebruiker elke bronlocatie zelf moet nacontroleren.

HalluSquatting verplaatst de bekende slopsquatting-truc, waarbij aanvallers verzonnen pakketnamen registreren, van softwarepakketten naar repositories en skills. Het past in een reeks lekken die laten zien dat de AI-codeerketen zelf het aanvalsoppervlak wordt: zo bleken onlangs tien van de elf populaire open-source AI-codeeragents kwetsbaar voor shell-injecties via de GuardFall-methode, en doken er nep-SDK's van Paysafe en Skrill op npm en PyPI op die ontwikkelaarsgeheimen stelen. De rode draad: waar een agent zonder tussenstap code ophaalt en uitvoert, wordt een verzonnen naam of adres een reeel toegangspunt. Een zoekopdracht die de echte locatie verifieert voordat de agent iets binnenhaalt, is dan geen luxe maar de plek waar de verdediging begint.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Agents met ingebouwde grenzen

Ik bouw agent- en automatiseringssystemen waarbij verificatie en beperkte rechten vanaf het ontwerp ingebakken zitten, niet als losse pleister achteraf. Van meedenken over de opzet tot bouwen en zelf hosten, zodat een verzonnen adres nooit zomaar code op je machine draait.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Nep-SDK's van Paysafe en Skrill op npm en PyPI stelen ontwikkelaarsgeheimen
Nieuws
4 min

9 jul 00:09

Nep-SDK's van Paysafe en Skrill op npm en PyPI stelen ontwikkelaarsgeheimen

Beveiligingsbedrijf Socket vond zeventien nep-betaal-SDK's op npm en PyPI die zich voordoen als Paysafe, Skrill en Neteller. Ze geven een valse succesmelding terug en stelen ondertussen de cloud- en repository-sleutels van ontwikkelaars die er een betaalintegratie mee bouwen.

GuardFall: oeroude shell-trucs omzeilen de beveiliging van 10 van 11 open-source AI-codeeragents
Nieuws
7 min

2 jul 02:13

GuardFall: oeroude shell-trucs omzeilen de beveiliging van 10 van 11 open-source AI-codeeragents

Adversa AI testte elf populaire open-source AI-codeeragents op shell-injectie. Tien lieten zich met dertig jaar oude Bash-trucs om de tuin leiden, alleen Continue hield stand. Er is geen CVE en geen patch.

GhostApproval misleidt het goedkeuringsvenster van zes AI-codeertools
Nieuws
4 min

10 jul 22:10

GhostApproval misleidt het goedkeuringsvenster van zes AI-codeertools

Beveiligingsbedrijf Wiz vond in zes AI-codeertools een lek dat het goedkeuringsvenster misleidt. Via een symbolische link schrijft de agent een SSH-sleutel buiten je project. Controleer of je op de gepatchte versie zit.

Wat is MCP? Zo krijgt AI toegang tot je tools en data
Uitgelegd
7 min

9 jul 02:01

Wat is MCP? Zo krijgt AI toegang tot je tools en data

MCP is geen AI-model en geen product, maar een open standaard: de USB-C-poort voor AI. Zo werkt het protocol waarmee elke AI-app op dezelfde manier bij je tools en data komt.

Z.ai lanceert gratis codeertool ZCode op GLM-5.2
Nieuws
4 min

4 jul 18:10

Z.ai lanceert gratis codeertool ZCode op GLM-5.2

Z.ai brengt ZCode uit, een gratis agent-gedreven codeertool op GLM-5.2 die Cursor, Claude Code en GitHub Copilot uitdaagt. Goedkoop en krachtig, maar wie zijn code door de cloud-API stuurt, krijgt er een datavraag bij.

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd
Nieuws
6 min

3 jul 14:10

FBI waarschuwt voor supply-chain-groep TeamPCP en adviseert een minimale package-leeftijd

De FBI bracht een officiele waarschuwing uit voor TeamPCP, die breed gebruikte ontwikkel- en beveiligingstools vergiftigde. De concrete raad: installeer een pakket pas na een minimale leeftijd van zeven dagen.