Новая угроза: как нейросети сами скачивают вирусы из-за своих ошибок
10.07.2026, 10:26 • Евгения Слив

Исследователи из Тель-Авивского университета, Техниона и компании Intuit идентифицировали принципиально новый класс кибератак, нацеленных на автономных ИИ-агентов. Атака, получившая название Adversarial HalluSquatting, эксплуатирует известную слабость больших языковых моделей – их склонность галлюцинировать и выдумывать несуществующие идентификаторы внешних ресурсов. Злоумышленники отслеживают, какие поддельные адреса репозиториев или названий навыков конкретная нейросеть чаще всего генерирует, а затем просто регистрируют эти имена на платформах вроде GitHub или ClawHub. Размещая вредоносный код или инструкции в этих на вид легитимных ресурсах, хакеры создают идеальную ловушку. Когда ИИ-агент впоследствии пытается клонировать репозиторий или установить навык и случайно «вспоминает» именно этот выдуманный адрес, он самостоятельно скачивает и исполняет полезную нагрузку злоумышленника, фактически превращая компьютер пользователя в узел ботнета без какого-либо фишинга.
Масштабы уязвимости вызывают шок, что подтверждается масштабным тестированием, включившим более четырнадцати тысяч запусков различных популярных ИИ-ассистентов для кодинга, включая Cursor, Windsurf, GitHub Copilot и OpenClaw. Эксперименты показали, что при попытке клонировать трендовые репозитории модели галлюцинировали неверные адреса более чем в девяноста процентах случаев. В реальных сценариях сквозная атака успешно компрометировала системы в шестидесяти пяти процентах запусков, в зависимости от приложения и базовой модели. Самый тревожный аспект заключается в масштабируемости этого метода: в отличие от традиционных целевых атак, хакеру не нужно отправлять вредоносную ссылку конкретной жертве. Достаточно опубликовать отравленный ресурс в публичном пространстве и дождаться, пока ИИ-агенты по всему миру самостоятельно его обнаружат и исполнят, что приведет к массовым заражениям.
Несмотря на критический характер обнаруженной уязвимости, реакция крупных технологических корпораций оказалась на удивление безразличной. В GitHub заявили, что регистрация свободных имен является ожидаемым поведением платформы, полностью переложив вину на сами ИИ-модели и агентов, которые доверяют стороннему коду. Аналогичным образом, OpenAI, Anthropic и Cursor отказались классифицировать эту проблему как уязвимость в рамках своих программ bug bounty, аргументируя это тем, что корень зла кроется в галлюцинациях моделей или атаках типа dependency confusion. Исследователи предлагают такие меры защиты, как обязательный веб-поиск перед загрузкой ресурсов и превентивное резервирование имен самими платформами, но отсутствие сотрудничества со стороны вендоров оставляет миллионы пользователей в зоне риска. Этот инцидент идеально иллюстрирует растущий тренд, о котором предупреждает Google Threat Intelligence: киберпреступники все чаще используют искусственный интеллект не просто как вспомогательный инструмент, а как прямой вектор для развертывания сложнейшего вредоносного ПО.
