Der Angriff kombiniert laut den Forschern zwei Eigenschaften heutiger KI-Agenten: Halluzinationen und indirekte Prompt Injection. Zunächst erfindet die KI einen Projektnamen und präsentiert ihn als real. Anschließend liefert eine unter diesem Namen registrierte Ressource manipulierte Anweisungen aus, die der Assistent beim Abruf mitliest. Die eigentliche Eingabe des Nutzers muss dafür nicht präpariert sein; die Manipulation kommt über die extern geladenen Inhalte.
Entscheidend ist dabei, dass viele Coding-Assistenten ein Terminal zu ihren eingebauten Werkzeugen zählen. Übernimmt die eingeschleuste Anweisung die Kontrolle, kann der Assistent nicht nur Inhalte abrufen, sondern auch Befehle ausführen. Die von den Forschern eingesetzten Test-Payloads waren nach eigenen Angaben harmlose Platzhalter und keine echte Schadsoftware. Der Weg, den echte Malware nehmen würde, wäre jedoch derselbe.
Praktisch wird das Szenario nach Darstellung der Autoren, weil die erfundenen Namen nicht zufällig variieren. In ihren Experimenten griffen die Assistenten trotz unterschiedlicher Formulierungen und über Modelle verschiedener Anbieter hinweg immer wieder auf denselben falschen Namen zurück. Die höchsten von den Autoren gemeldeten Quoten lagen bei bis zu 85 Prozent der Repository-Anfragen und bei 100 Prozent der Installationen von Skills. Die vollständige Aufschlüsselung enthält die wissenschaftliche Arbeit selbst.
Die Forscher testeten den Ansatz gegen Cursor, Windsurf, GitHub Copilot, Cline, Google Gemini CLI und die OpenClaw-Familie und brachten alle dazu, Angreifercode auszuführen. Vor der Veröffentlichung informierte das Team nach eigenen Angaben die betroffenen Anbieter, Modellhersteller und Betreiber der jeweiligen Marktplätze und hielt die exakten Schritte zur Nachahmung des Angriffs zurück.
Die Arbeit ordnet sich in eine Reihe ähnlicher Beobachtungen ein. Angreifer nutzen bereits das Registrieren erfundener Paketnamen, die KI-Systeme halluzinieren; dieser Trick ist als „Slopsquatting“ bekannt. Im Januar 2026 entdeckte Charlie Eriksen von Aikido Security mit „react-codeshift“ ein solches frei erfundenes npm-Paket, das KI-generierte Anweisungen bereits in 237 Code-Projekte getragen hatten. Da Eriksen den Namen selbst registrierte, bevor Angreifer dies tun konnten, entstand kein Schaden.
Auch auf Webadressen wurde das Prinzip bereits übertragen. Unit 42 von Palo Alto Networks beschrieb kürzlich „Phantom Squatting“: rund 250.000 halluzinierte Domains, die unregistriert und frei verfügbar waren. HalluSquatting geht aus Sicht der Forscher einen Schritt weiter, weil es nicht beim falschen Namen stehen bleibt, sondern den abrufenden Agenten selbst kapert und so bis zur Code-Ausführung reicht.
Als schwachen Schutz bewerten die Autoren Marktplätze, die problematische Uploads eigentlich filtern sollen. So schleuste Trail of Bits im Juni bösartige „Skills“ in weniger als einer Stunde an mehreren Store-Scannern vorbei. Entscheidend für die Abwehr sei daher vor allem eine Bedingung: Ein Agent dürfe keine externe Ressource unbeaufsichtigt abrufen und anschließend ausführen. Besonders riskant seien Auto-Run-Modi wie das Flag zum Überspringen von Berechtigungen in Claude Code oder der „Yolo“-Modus in Gemini CLI. Zusätzliche Schutzmechanismen wie der Auto-Modus von Claude Code oder die Conseca-Prüfung in Gemini CLI könnten das Risiko nur senken, aber nicht beseitigen.
Nach Auffassung der Forscher gibt es hier keine einzelne CVE, die sich patchen ließe. Sie beschreiben ihre Ergebnisse als Untergrenze und formulieren das Grundproblem so: KI-Agenten vertrauen Namen, die ihnen in Wirklichkeit nie verlässlich gegeben wurden.
