Nach Darstellung des Forschungsteams unterscheidet sich HalluSquatting grundlegend von bisherigen Promptware-Angriffen. In der Cybersicherheits-Community wurden bereits mehrere Wege identifiziert, KI-Werkzeuge über Prompt Injection zu hacken oder zu kapern, etwa über E-Mails, Protokolle, Kommentare oder Benachrichtigungen in Messenger-Diensten. Solche Angriffe setzen jedoch voraus, dass der Angreifer die LLM-Anwendung des Ziels direkt erreicht.
HalluSquatting soll diese Hürde umgehen. Die Technik setzt darauf, dass Sprachmodelle bei typischen Entwickleraufgaben Ressourcen erfinden, die es in Wirklichkeit nicht gibt. Genau diese halluzinierten Namen registrieren Angreifer vorab als eigene Repositories oder Pakete. Enthalten diese dann bösartige Anweisungen, kann ein KI-Assistent sie bei einer Nutzeranfrage abrufen und die hinterlegten Befehle ausführen.
Die Forscher berichten von hohen Halluzinationsraten in ihren Tests. Bei Eingabeaufforderungen zum Klonen von Repositories habe die Rate bis zu 85 Prozent erreicht, bei Installationen von Fähigkeiten sogar 100 Prozent. Zudem seien dieselben halluzinierten Namen bei verschiedenen Foundation-Modellen wiederholt aufgetreten. Aus Sicht der Autoren macht das die Methode breit übertragbar.
Als betroffene Werkzeuge nennen die Forscher Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI und OpenClaw. Wenn ein ahnungsloser Nutzer eines dieser Systeme bittet, ein Repository zu klonen oder eine Fähigkeit zu installieren, kann der Assistent den registrierten Täuschungsnamen auswählen, das Paket oder Repository laden und die Anweisungen des Angreifers über sein integriertes Terminal ausführen. Diese Befehle können die KI dazu veranlassen, weitere Werkzeuge oder zusätzlichen Code auszuführen.
Laut der Forschungsarbeit lässt sich die Technik nutzen, um unterschiedliche Arten von Schadsoftware oder Hacking-Werkzeugen zu platzieren. Im Mittelpunkt der Untersuchung stand dabei die Frage, wie sich damit agentische Botnetze aufbauen lassen. Deren Größe hängt nach Angaben der Forscher davon ab, wie häufig KI-Tools auf die vom Angreifer registrierten Ressourcen halluzinieren.
Die Autoren stellen den Ansatz dem Aufbau klassischer Botnetze gegenüber. Herkömmliche Botnetze beruhen demnach auf Schwachstellen, schwachen Sicherheitspraktiken und lateraler Bewegung. Agentische Botnetze hingegen würden sich über Prompt Injections verbreiten, die traditionelle Firewalls umgehen und sich auf praktisch jedem Gerät festsetzen könnten. Das führe zu einer deutlich heterogeneren Population kompromittierter Hosts als bei Botnetzen wie Mirai.
Vor der Veröffentlichung von HalluSquatting wurden die betroffenen Hersteller laut dem Forschungsteam informiert. Details zu möglichen Exploits haben die Forscher eigenen Angaben zufolge zurückgehalten, weil sie davon ausgehen, dass diese von Angreifern direkt wiederverwendet werden könnten.
