U kratkoj povijesti sigurnosti umjetne inteligencije, prompt injekcija brzo je postala najveća prijetnja. Veliki jezični modeli inherentno nisu sposobni razlikovati legitimne upute koje daju korisnici od zlonamjernih koje su se potajno ubacile u e-poštu, izvorni kod i drugi sadržaj trećih strana koji modeli obrađuju. To olakšava tajno ubacivanje zlonamjernih naredbi koje LLM rado slijedi.
Budući da ne postoji način za nametanje ove ključne granice između pouzdanih i nepouzdanih izvora, programeri AI motora ostavljeni su da postave složene zaštite dizajnirane za ublažavanje štete umjesto da riješe osnovni uzrok. Do danas, većina prompt injekcija spada u klasu poznatu kao push, u kojoj je svaka potencijalna žrtva ciljana. Na primjer, protivnik ubacuje zlonamjerne upute u pojedinačnu e-poštu ili kalendarsku pozivnicu. Budući da se injekcija mora poslati (ili „gurnuti“) svakom specifičnom cilju, opseg napada je ograničen, što ometa masovne eksploatacije koje pogađaju Internet u cjelini.
U međuvremenu, pull-bazirani napadi, u kojima LLM aktivno traži zlonamjerne upute koje su postavljene na web stranicama, ostaju ograničeni. Bez mogućnosti mamiti veliki broj LLM-ova na zlonamjernu stranicu, ove vrste napada također se ne šire.
Upoznajte HalluSquatting. Sada su istraživači osmislili pull-bazirani napad koji mijenja sve to. Novi napad koji su istraživači nazvali HalluSquatting ima potencijal za sastavljanje masovnih bot mreža, izvođenje velikih DDoS napada i masovno zaražavanje uređaja, što je prvi put za napade sa prompt injekcijom. Napad djeluje protiv AI kodnih asistenata i agenata, uključujući Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw i NanoClaw, koji su svi podložni. U normalnom tijeku obavljanja svakodnevnih aktivnosti, ovi asistenti i agenti rutinski preuzimaju kod i druge resurse iz repozitorija i registra.
HalluSquatting, skraćeno od adversarial hallucination squatting, temelji se na inherentnoj sklonosti LLM-a da halucinira identifikatore resursa koji se nalaze u repozitorijima i registrima. Djeluje protiv kodnih agenata i asistenata, koji obično pristupaju visoko privilegiranim naredbenim linijama za pokretanje koda iz resursa trećih strana. Predviđanjem identifikatora koje LLM-ovi najvjerojatnije haluciniraju, a zatim registriranjem i sjetvom tih identifikatora s uputama za instaliranje povratnih ljuski ili druge zlonamjerne opreme, napad može indiscriminately zaražavati velike brojeve uređaja bez potrebe za ciljanjem svakog pojedinačno.



