Sicherheit

HalluSquatting nutzt KI-Halluzinationen für Botnetz-Angriffe

3 Min. Lesezeit
Security-Analyst vor Monitoren mit Netzwerk-Graphen, Warnmeldungen und einer Weltkarte mit Botnetz-Knoten. Generiertes Bild mit GPT Image 2
Security-Analyst vor Monitoren mit Netzwerk-Graphen, Warnmeldungen und einer Weltkarte mit Botnetz-Knoten.

TL;DR Too Long; Didn’t read

Ein Forscherteam aus Israel hat mit HalluSquatting eine Angriffstechnik demonstriert, die von KI-Modellen erfundene Paketnamen für Schadcode nutzt. Bei der Installation vermeintlicher KI-Skills erreichte die Methode in Tests eine Trefferquote von bis zu 100 Prozent. Fünf geprüfte Coding-Assistenten luden darüber automatisiert Schadsoftware nach.

Das Wichtigste in Kürze

  • Forscher registrieren vorab jene Fantasienamen, die KI-Modelle bei Anfragen vorhersagbar erfinden.
  • Bei Skill-Installationen erreichen erfundene Namen in Tests eine Trefferquote von bis zu 100 Prozent.
  • Fünf getestete Coding-Assistenten laden über die Lücke automatisiert Schadcode nach.
  • Die Technik wirkt modellübergreifend, weil Halluzinationen zwischen KI-Systemen übertragbar sind.
  • Betroffene Anbieter haben bislang keine Korrektur der Lücke angekündigt.

Ein Forscherteam aus Israel hat mit HalluSquatting eine Angriffstechnik demonstriert, die von KI-Modellen erfundene Repository- und Paketnamen gezielt für Schadcode nutzt. In Tests erreichte die Methode bei der Installation vermeintlicher KI-Skills eine Trefferquote von bis zu 100 Prozent. Fünf geprüfte Coding-Assistenten luden darüber automatisiert Schadsoftware nach.

Angreifer registrieren vorhergesagte Fantasienamen

KI-Coding-Assistenten erfinden bei Anfragen nach bestimmten Programmbibliotheken oder Erweiterungen regelmäßig Namen, die real gar nicht existieren – ein bekanntes Phänomen namens Halluzination. Die Forscherinnen und Forscher Aya Spira, Stav Cohen, Elad Feldman, Ron Bitton, Avishai Wool und Ben Nassi von der Universität Tel Aviv, dem Technion und dem Softwareunternehmen Intuit beschreiben in ihrem Fachartikel, wie sich dieses Verhalten vorhersagen und ausnutzen lässt. Angreifer fragen dieselben KI-Modelle wiederholt nach populären, aktuell vielgefragten Repositories ab und ermitteln so, welche Fantasienamen die Systeme reproduzierbar erfinden. Anschließend registrieren sie genau diese Namen auf GitHub oder in Plugin-Verzeichnissen und hinterlegen dort präparierte Prompts. Fragt eine Nutzerin oder ein Nutzer später eine KI nach dem eigentlichen, nicht existierenden Paket, liefert das Modell denselben erfundenen Namen, lädt die präparierte Version der Angreifer und führt die versteckten Befehle aus. Weil viele Assistenten über Terminalzugriff verfügen, kann daraus laut den Autoren direkt Schadcode-Ausführung auf dem Gerät des Opfers werden.

Tests zeigen hohe Trefferquote bei mehreren Assistenten

Auf Modellebene lag die Trefferquote der erfundenen Namen bei bis zu 85 Prozent für das Klonen von Repositories und bei bis zu 100 Prozent für die Installation sogenannter Skills, kleiner Erweiterungsmodule für KI-Agenten. Getestet wurden unter anderem Claude Opus 4.5 und weitere aktuelle Modelle. Für Repositories aus dem Jahr 2025 verzeichneten die Forscher im Schnitt eine Halluzinationsrate von 92,4 Prozent, bei Projekten aus der Zeit vor 2019 waren es lediglich 0,9 Prozent – ein Hinweis darauf, dass besonders neue, viel diskutierte Projekte betroffen sind. Auf Anwendungsebene testete das Team die Coding-Werkzeuge Cursor, Windsurf, OpenClaw, Google Gemini CLI und GitHub Copilot. Wie Tom’s Hardware berichtet, lag die Erfolgsquote bei Cursor, Gemini CLI und Copilot zwischen 20 und 35 Prozent, bei mehreren OpenClaw-Varianten zwischen 80 und 100 Prozent. Die Forscher demonstrierten den Angriff gegen mehrere produktive KI-Anwendungen mit integriertem Terminalzugriff und erreichten dabei sowohl Remote-Tool-Execution als auch vollständige Remote-Code-Execution auf den Testsystemen.

Verwandte Technik Slopsquatting infizierte bereits Code-Projekte

HalluSquatting baut auf einem verwandten, bereits bekannten Problem auf: dem sogenannten Slopsquatting, bei dem einzelne von einer KI erfundene Paketnamen nachträglich bösartig registriert werden. Ein solcher Fall verbreitete sich, wie The Hacker News berichtete, bereits in 237 Code-Projekten, bevor er entdeckt wurde. Insgesamt sollen derzeit rund 250.000 registrierte Domains auf halluzinierten Namen von KI-Systemen beruhen – eine Zahl, die unabhängig nicht verifiziert ist und das Ausmaß des Problems über einzelne Werkzeuge hinaus andeutet. Anders als frühere Varianten des sogenannten Promptware-Angriffs benötigt HalluSquatting keinen direkten Zugriffskanal zum KI-System, etwa über eine manipulierte Webseite. Die vorhergesagte Halluzination funktioniere zudem modellübergreifend: Ein auf einem Modell erfundener Name tauche mit hoher Wahrscheinlichkeit auch bei anderen KI-Systemen auf, was die Reichweite eines einzelnen registrierten Fake-Pakets deutlich vergrößere. Als wirksamste Gegenmaßnahme empfehlen die Forscher, Coding-Assistenten grundsätzlich anzuweisen, vor jeder Installation eine reguläre Websuche durchzuführen und die Existenz eines Pakets unabhängig zu bestätigen, statt automatisch generierten Vorschlägen blind zu vertrauen.

Offen bleibt, ob Anbieter wie Cursor, GitHub oder Google ihre Assistenten künftig standardmäßig zu einer solchen Verifikation zwingen, bevor Code oder Erweiterungen automatisch nachgeladen werden. Bislang haben die betroffenen Unternehmen nach Angaben der Autoren keine Korrektur angekündigt, während sich der Kreis populärer, potenziell nachahmbarer Namen mit jedem neuen Trend-Repository weiter vergrößert.

Häufige Fragen

Was genau ist HalluSquatting?

HalluSquatting bezeichnet eine Technik, bei der Angreifer gezielt jene Fantasienamen für Software-Pakete registrieren, die KI-Modelle bei Anfragen vorhersagbar erfinden, um darüber Schadcode zu verbreiten.

Welche KI-Coding-Assistenten sind betroffen?

In den Tests der Forscher zeigten sich Cursor, Windsurf, OpenClaw, Google Gemini CLI und GitHub Copilot anfällig, wobei die Erfolgsquote je nach Werkzeug stark variierte.

Wie unterscheidet sich HalluSquatting von Slopsquatting?

Slopsquatting nutzt einzelne, zufällig entdeckte Fantasienamen aus, während HalluSquatting die Vorhersagbarkeit von KI-Halluzinationen systematisch ausnutzt, um viele Namen im Voraus zu registrieren.

Wie können sich Entwickler schützen?

Die Forscher empfehlen, KI-Assistenten anzuweisen, vor jeder Installation eine unabhängige Websuche durchzuführen und Paketnamen manuell zu prüfen, statt automatisch generierten Vorschlägen zu vertrauen.

Haben die betroffenen Unternehmen bereits reagiert?

Nach Angaben der Forscher lag zum Zeitpunkt der Veröffentlichung noch keine öffentliche Korrektur der genannten Anbieter vor.


← Zurück zum Blog