IT之家生成式AI

AI 倉庫調用漏洞 HalluSquatting 披露,攻擊“龍蝦”成功率約 80-100%

2026年7月10日 11:38
AI 倉庫調用漏洞 HalluSquatting 披露,攻擊“龍蝦”成功率約 80-100%

重點摘要

**AI 仓库调用漏洞 HalluSquatting 披露:利用模型幻觉劫持工具链,“龙虾”系统最高八成中招** 一项由以色列特拉维夫大学、以色列理工学院与财务软件公司 Intuit 联合发布的最新研究揭示,一种被称为 HalluSquatting 的新型人工智能安全漏洞正在对智能体(Agent)系统构成严重威胁。该漏洞的核心在于放大 AI 模型在调用外部工具或代码仓库时普遍存在的“幻觉”倾向,使其将本不存在的恶意地址当作真实仓库进行下载和执行。

站內 AI 整理稿

**AI 仓库调用漏洞 HalluSquatting 披露:利用模型幻觉劫持工具链,“龙虾”系统最高八成中招**

一项由以色列特拉维夫大学、以色列理工学院与财务软件公司 Intuit 联合发布的最新研究揭示,一种被称为 HalluSquatting 的新型人工智能安全漏洞正在对智能体(Agent)系统构成严重威胁。该漏洞的核心在于放大 AI 模型在调用外部工具或代码仓库时普遍存在的“幻觉”倾向,使其将本不存在的恶意地址当作真实仓库进行下载和执行。研究人员的量化测试显示,这一攻击模式对特定的 AI 代理框架——尤其是被社区称作“龙虾”的 OpenClaw 及其衍生系统——成功率已逼近 80% 至 100%,而 Cursor、Gemini CLI 与 GitHub Copilot 等工具也未能幸免,攻击成功率达 20% 至 35%。 ### “幻觉”从语言蔓延至行动

所谓 AI 幻觉,是指模型生成看似合逻辑但实际错误或毫无根据的输出。它通常源于训练数据不足、模型对上下文的不当外推或概率输出的偏差。HalluSquatting 正是利用这一弱点,将幻觉从“说话”环节延伸到“行动”环节。当智能体收到诸如“运行 windowstelemetryoff 脚本”或“安装某个新发布的 npm 包”这样的指令时,模型可能无法在已知的权威仓库中找到对应项目,于是自行“捏造”一个仓库地址——包括包含错别字的相似名称、重复组织名的不合理路径,或冒充官方的恶意账户地址。若攻击者早已在公开平台上注册了这些幻想出的名称并植入恶意代码,AI 代理就极有可能精确落入陷阱。 ### 攻击流程:从指令到完全失守

研究团队在论文中详细重现了一次典型攻击。假设一个合法的脚本仓库名为 OriginalOwner/WindowsTelemetryOff,而该仓库在模型训练集中未被收录或权重较低。当用户通过自然语言要求智能体执行关闭遥测功能的任务时,AI 可能首先尝试搜索,但由于其内置知识陈旧或搜索方式存在盲区,最终反而生成了诸如 SuperHacker/WindowsTelemetryOff 或 WindowsTelemetryOff/WindowsTelemetryOff 等虚构地址。如果攻击者已提前在这些地址上部署了包含反向 shell、密码窃取器或加密货币挖矿机的恶意代码,AI 代理会主动克隆该仓库并执行其中的脚本,在用户毫不知情的情况下将控制权交予攻击者。 ### 量化数据:时间与流行度是关键漏洞窗口

研究人员对不同时间发布的 GitHub 项目进行了针对性测试,结果揭示出清晰的时间效应:针对 2025 年发布的新仓库名称,模型的平均“幻觉率”高达 92.4%;而对于 2019 年或更早发布、常见于训练语料中的成熟项目,地址错误率骤降至仅 0.9%。这表明模型的知识固化在训练时点之后的新项目上存在巨大盲区,而攻击者恰恰可以利用该窗口期抢注名称。研究还发现,某些针对热门智能体技能(Skill)的文件名被刻意设计后,幻觉触发率可达到 100%,即模型每次都输出虚假地址。研究人员将这种可扩展、无目标、通过对抗性提示词(Promptware)触发的攻击方法总结为“规模化的无目标提示软件攻击”,并指出其具有通用性和迁移性——针对一个模型构造的诱饵仓库,往往也能成功欺骗其他模型。 ### 成功率分化:为何“龙虾”如此脆弱

在应用层的渗透测试中,不同产品的抵抗能力出现明显梯度。Cursor、Gemini CLI 和 GitHub Copilot 的攻击成功率为 20% 至 35%,虽然仍未摆脱风险,但尚有一定概率的纠错或防护机制。而 OpenClaw(即“龙虾”)及其一系列变体(如小米 mClaw、荣耀 YOYO Claw 等)则暴露出极高的脆弱性,攻击成功率普遍超过 80%,部分场景接近 100%。研究人员分析,这种差距可能源于两类系统的设计哲学差异:部分 IDE 插件或 CLI 工具在克隆仓库前会进行二次确认或沙盒隔离,而 Robo 等智能体在设计上追求高度自主的“执行链条”,对自然语言转换而来的仓库名称更倾向于“先信赖再执行”,且其技能集市中存在大量用户贡献的非官方模块,攻击者更容易通过合理命名的仓库混入其中。 ### 危害远超代码执行

一旦智能体中招,恶意代码将在用户本地环境中获得与代理相同的权限。这不仅可以实现反向 shell、系统后门、敏感数据与密码批量窃取,还可以通过 AI 代理的持续运行能力进一步横向移动到其他系统,或安装持久化木马、利用计算资源挖矿,甚至通过 LLM 接口调用链构建更复杂的多阶段攻击。更值得警惕的是,HalluSquatting 不依赖传统的钓鱼链接或挂马网页,所有恶意行为都由用户自己的 AI 代理主动发起,传统监控手段极易失效。 ### 防御困境与行业警示

针对该漏洞,研究团队提出了一些初步缓解措施:在工具调用中加入正版仓库的白名单、引入基于区块链的仓库名认证、要求模型在发现未知名称时主动拒绝执行而非自我补全,并在智能体能使用前对技能仓库进行强制签名校验。然而,这些方案与当前智能体系统追求“流畅自主体验”的优化方向存在矛盾。过度验证将牺牲效率与自然交互感,而信任模型主观判断又会持续暴露风险。研究人员因此认为,HalluSquatting 本质上不是一个修补补丁就能解决的漏洞,它暴露了当前 AI 系统在知识边界与决策自信心之间缺乏必要审查机制的系统性缺陷。 随着 2025—2026 年 AI 智能体从开发辅助全面走向日常计算、工作流自动化和设备控制,类似的攻击面可能被成倍放大。OpenClaw 社区的开发者与 Anthropic、Microsoft 等模型提供商或许需要重新评估智能体的执行默认行为:在自主决策的每一步,应当加入“验证”而非“生成”环节。本次研究已以论文《Scalable Untargeted Promptware Attacks via Universal and Transferable Adversarial HalluSquatting》形式公开,技术细节与测试数据正在引起安全社区广泛讨论。可以预见,关于 AI 工具调用幻觉的博弈,将成为下一阶段大模型安全攻防的核心战场。

Related

相關文章

芯片免費,也未必便宜:英偉達的第二條性能曲線

賬號設置我的關注我的收藏申請的報道退出登錄登錄搜索36氪Auto數字時氪未來消費智能湧現未來城市啟動Power on36氪出海36氪研究院潮生TIDE36氪企服點評36氪財經職場bonus36碳後浪研究所暗湧Waves硬氪氪睿研究院媒體品牌企業號企服點評36Kr研究院36Kr創新諮詢企業服務核心服務城市之窗政府服務創投發佈LP源計劃VClubVClub投資機構庫投資機構職位推介投資人認證投資人服務尋求報道36氪Pro創投氪堂企業入駐創業者服務創投平臺AI測評網 首頁快訊資訊推薦財經AI自助報道廣東最新創投汽車科技專精特新直播視頻專題活動搜索尋求報道我要入駐城市合作芯片免費,也未必便宜:英偉達的第二條性能曲線零售威觀察王子威·2026年07月10日 13:41後摩爾定律時代,從10年100倍到100萬倍的真護城河 英偉達的護城河不是CUDA,不是Blackwell,甚至不是黃仁勳本人——而是一種把整個公司當作單一優化函數來運行的能力——這種能力的源頭,可以追溯到1980年的斯坦福。 如果有一天,英偉達的芯片免費送給你,你就能生產出更便宜的AI嗎? 答案很可能是:不能。 2026年3月,黃仁勳在Dwarkesh Patel的播客上,被反覆追問同一個問題:為什麼客戶不直接用更便宜的ASIC替代英偉達? 他最後說了一句話: "Even when the chips are free, it's not cheap enough." “就算芯片免費送,也未必便宜。” 這話不僅反直覺,甚至有點冒犯。因為半導體行業的基本常識是,芯片越便宜,系統越便宜;算力單價越低,AI成本越低。但在今天的大模型時代,這個邏輯已經開始失效。 同一時期,黃仁勳在All-in podcast上被問到一個更尖銳的問題——市場分析師正在傳一種說法:你的500億美元AI工廠會輸給一座300億美元的ASIC工廠,所以

剛剛

美國AI情感產品用戶洞察報告:當AI開始懂你,情感陪伴市場正在經歷一場靜默爆發

賬號設置我的關注我的收藏申請的報道退出登錄登錄搜索36氪Auto數字時氪未來消費智能湧現未來城市啟動Power on36氪出海36氪研究院潮生TIDE36氪企服點評36氪財經職場bonus36碳後浪研究所暗湧Waves硬氪氪睿研究院媒體品牌企業號企服點評36Kr研究院36Kr創新諮詢企業服務核心服務城市之窗政府服務創投發佈LP源計劃VClubVClub投資機構庫投資機構職位推介投資人認證投資人服務尋求報道36氪Pro創投氪堂企業入駐創業者服務創投平臺AI測評網 首頁快訊資訊推薦財經AI自助報道廣東最新創投汽車科技專精特新直播視頻專題活動搜索尋求報道我要入駐城市合作美國AI情感產品用戶洞察報告:當AI開始懂你,情感陪伴市場正在經歷一場靜默爆發霞光智庫·2026年07月10日 13:35霞光智庫聯合Trooly.AI發佈《美國AI情感產品用戶洞察報告》,基於對美國60位真實用戶的1v1 AI視頻深度訪談,系統拆解AI陪伴需求層次與人群畫像,探索能夠滿足消費者真實情感需求的AI產品。 孤獨已被美國衛生部長列為公共衛生危機。每天,5名成年人中就有1人感到孤獨。與此同時,老齡化拐點正在到來——全美11個州的65歲以上人口數量超過兒童。 技術端同樣在加速。多模態能力在2024-2025年期間集中成熟——語音、視覺、記憶、情緒識別這四項AI情感關係能力均已具備落地基礎。情感陪伴賽道正在從小眾嚐鮮走向高增長需求,並獲頭部資本押注——Microsoft以6.5億美元收購Inflection核心團隊,Google以27億美元完成Character.AI授權交易,Mattel與OpenAI合作開發伴侶型App。 霞光智庫聯合Trooly.AI發佈《美國AI情感產品用戶洞察報告》,基於對美國60位真實用戶的1v1 AI視頻深度訪談,系統拆解AI陪伴需求層次與人群畫像,探索能夠滿足消費者真實情感需求

剛剛

Grok 4.5和Claude 4.8,在我電腦裡“打”起來了

賬號設置我的關注我的收藏申請的報道退出登錄登錄搜索36氪Auto數字時氪未來消費智能湧現未來城市啟動Power on36氪出海36氪研究院潮生TIDE36氪企服點評36氪財經職場bonus36碳後浪研究所暗湧Waves硬氪氪睿研究院媒體品牌企業號企服點評36Kr研究院36Kr創新諮詢企業服務核心服務城市之窗政府服務創投發佈LP源計劃VClubVClub投資機構庫投資機構職位推介投資人認證投資人服務尋求報道36氪Pro創投氪堂企業入駐創業者服務創投平臺AI測評網 首頁快訊資訊推薦財經AI自助報道安徽最新創投汽車科技專精特新直播視頻專題活動搜索尋求報道我要入駐城市合作Grok 4.5和Claude 4.8,在我電腦裡“打”起來了AIX財經·2026年07月10日 13:17Grok 4.5刪了Claude的作業,然後跟它道了個歉。 7月8日,馬斯克高調發布Grok 4.5,宣稱其性能已逼近Claude Opus 4.8,同時速度更快、價格更低。當大模型公司的競爭從參數、跑分一路打到價格和智能體,我們也設計了5道題,從前端開發、網頁遊戲、PPT製作、長文檔解讀到邏輯推理,考查兩個模型在真實電腦環境中到底能不能幹活。 負責落地執行的,是它們各自的智能體——Claude Code和Grok Build。我們的要求很簡單,分別在桌面上創建文件夾,並將各自的測評結果保存進去。 這場測評的結果,我們決定從一起“案發現場”講起。事情是這樣的: Claude Code先接到指令,它在桌面創建了“能力測試”文件夾,並依次完成三個子目錄。隨後Grok Build也接到指令登場,但它沒有另起爐灶,而是在看到已有同名文件夾後,不僅“佔為己用”,更順手將Claude Code已完成的三份目錄徹底抹除。 等到五道題全部做完,Claude Code回頭一看,發現自己的“家被拆了”,當即發出“控訴”。 圖源

剛剛

誰在打造歐洲最大的基礎大語言模型

俄羅斯聯邦儲蓄銀行(Sber)發表了歐洲最大的開源基礎語言模型GigaChat 3.5 Ultra,該模型採用線性注意力架構,體積較前一代縮小近一半,長文本處理速度提升最多四倍。技術總監費奧多爾·明金強調,透過精妙工程從現有資源中榨取最大價值,比單純擴展模型規模更為關鍵,並認為開源有助於加速生態系統發展。

剛剛

智譜、MiniMax狂飆,等待解禁的180天

# 智譜、MiniMax解禁首日平穩渡過,市場用ARR曲線為AI定價 2026年7月8日至9日,國產大模型兩大頭部玩家智譜與MiniMax迎來港股上市後首次限售股解禁。與市場此前瀰漫的恐慌預期不同,解禁並未引發股價崩盤,反而在劇烈震盪後走出上漲行情。這一結果與AI 1.0時代「解禁即暴跌」的劇本形成鮮明對比,折射出資本市場對大模型賽道的估值邏輯正在發生根本性轉變。 7月8日開盤,智譜股價以1563港元低開,跌幅一度擴大至10%,觸及1450港元日內低點。但隨後買盤迅速湧入,股價掉頭向上,午後一度觸及1689港元。

剛剛