Ein Forscherteam aus Israel hat mit HalluSquatting eine Angriffstechnik demonstriert, die von KI-Modellen erfundene Repository- und Paketnamen gezielt für Schadcode nutzt. In Tests erreichte die Methode bei der Installation vermeintlicher KI-Skills eine Trefferquote von bis zu 100 Prozent. Fünf geprüfte Coding-Assistenten luden darüber automatisiert Schadsoftware nach.
Angreifer registrieren vorhergesagte Fantasienamen
KI-Coding-Assistenten erfinden bei Anfragen nach bestimmten Programmbibliotheken oder Erweiterungen regelmäßig Namen, die real gar nicht existieren – ein bekanntes Phänomen namens Halluzination. Die Forscherinnen und Forscher Aya Spira, Stav Cohen, Elad Feldman, Ron Bitton, Avishai Wool und Ben Nassi von der Universität Tel Aviv, dem Technion und dem Softwareunternehmen Intuit beschreiben in ihrem Fachartikel, wie sich dieses Verhalten vorhersagen und ausnutzen lässt. Angreifer fragen dieselben KI-Modelle wiederholt nach populären, aktuell vielgefragten Repositories ab und ermitteln so, welche Fantasienamen die Systeme reproduzierbar erfinden. Anschließend registrieren sie genau diese Namen auf GitHub oder in Plugin-Verzeichnissen und hinterlegen dort präparierte Prompts. Fragt eine Nutzerin oder ein Nutzer später eine KI nach dem eigentlichen, nicht existierenden Paket, liefert das Modell denselben erfundenen Namen, lädt die präparierte Version der Angreifer und führt die versteckten Befehle aus. Weil viele Assistenten über Terminalzugriff verfügen, kann daraus laut den Autoren direkt Schadcode-Ausführung auf dem Gerät des Opfers werden.
Tests zeigen hohe Trefferquote bei mehreren Assistenten
Auf Modellebene lag die Trefferquote der erfundenen Namen bei bis zu 85 Prozent für das Klonen von Repositories und bei bis zu 100 Prozent für die Installation sogenannter Skills, kleiner Erweiterungsmodule für KI-Agenten. Getestet wurden unter anderem Claude Opus 4.5 und weitere aktuelle Modelle. Für Repositories aus dem Jahr 2025 verzeichneten die Forscher im Schnitt eine Halluzinationsrate von 92,4 Prozent, bei Projekten aus der Zeit vor 2019 waren es lediglich 0,9 Prozent – ein Hinweis darauf, dass besonders neue, viel diskutierte Projekte betroffen sind. Auf Anwendungsebene testete das Team die Coding-Werkzeuge Cursor, Windsurf, OpenClaw, Google Gemini CLI und GitHub Copilot. Wie Tom’s Hardware berichtet, lag die Erfolgsquote bei Cursor, Gemini CLI und Copilot zwischen 20 und 35 Prozent, bei mehreren OpenClaw-Varianten zwischen 80 und 100 Prozent. Die Forscher demonstrierten den Angriff gegen mehrere produktive KI-Anwendungen mit integriertem Terminalzugriff und erreichten dabei sowohl Remote-Tool-Execution als auch vollständige Remote-Code-Execution auf den Testsystemen.
Verwandte Technik Slopsquatting infizierte bereits Code-Projekte
HalluSquatting baut auf einem verwandten, bereits bekannten Problem auf: dem sogenannten Slopsquatting, bei dem einzelne von einer KI erfundene Paketnamen nachträglich bösartig registriert werden. Ein solcher Fall verbreitete sich, wie The Hacker News berichtete, bereits in 237 Code-Projekten, bevor er entdeckt wurde. Insgesamt sollen derzeit rund 250.000 registrierte Domains auf halluzinierten Namen von KI-Systemen beruhen – eine Zahl, die unabhängig nicht verifiziert ist und das Ausmaß des Problems über einzelne Werkzeuge hinaus andeutet. Anders als frühere Varianten des sogenannten Promptware-Angriffs benötigt HalluSquatting keinen direkten Zugriffskanal zum KI-System, etwa über eine manipulierte Webseite. Die vorhergesagte Halluzination funktioniere zudem modellübergreifend: Ein auf einem Modell erfundener Name tauche mit hoher Wahrscheinlichkeit auch bei anderen KI-Systemen auf, was die Reichweite eines einzelnen registrierten Fake-Pakets deutlich vergrößere. Als wirksamste Gegenmaßnahme empfehlen die Forscher, Coding-Assistenten grundsätzlich anzuweisen, vor jeder Installation eine reguläre Websuche durchzuführen und die Existenz eines Pakets unabhängig zu bestätigen, statt automatisch generierten Vorschlägen blind zu vertrauen.
Offen bleibt, ob Anbieter wie Cursor, GitHub oder Google ihre Assistenten künftig standardmäßig zu einer solchen Verifikation zwingen, bevor Code oder Erweiterungen automatisch nachgeladen werden. Bislang haben die betroffenen Unternehmen nach Angaben der Autoren keine Korrektur angekündigt, während sich der Kreis populärer, potenziell nachahmbarer Namen mit jedem neuen Trend-Repository weiter vergrößert.


