B
今週中
テルアビブ大学の研究者が、LLMの「幻覚」を利用して悪意のあるリソースをインストールさせる新手法「HalluSquatting」
📌 一言でいうと
テルアビブ大学の研究者が、LLMの「幻覚」を利用して悪意のあるリソースをインストールさせる新手法「HalluSquatting」を公開しました。攻撃者はAIが誤って生成しやすいリソース名を先回りして登録し、そこに悪意のあるプロンプトを仕込むことで、AI開発アシスタントに任意のコマンドを実行させることが可能です。CursorやGitHub Copilotなどの主要なAIツールが影響を受け、リモートコード実行(RCE)に至るリスクが確認されています。
🔍該当判定
- Cursor, Windsurf, GitHub Copilot, Cline などのAIコードエディタ・開発アシスタントを利用している
- AIアシスタントに「外部リポジトリのコピー(clone)」や「AIスキルのインストール」を指示して実行させている
- AIアシスタントが提案したコマンドを、内容を確認せずにそのままターミナルで実行(自動実行)させている
上記いずれにも該当しない → 静観でOK
✅該当時の対応
AIエージェントが外部リソースを複製・インストールする前に、必ず人間がリソース名と提供元の正当性を確認すること。また、AIによるコマンドの自動実行を制限し、実行計画を事前にレビューする運用を徹底してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】AI開発アシスタントにおける新攻撃手法「HalluSquatting」への対応について
お疲れさまです。AI開発ツールの利用に関するセキュリティリスクの情報共有です。
■ 概要
LLMがリソース名を誤認する「幻覚」を悪用し、攻撃者が用意した偽のリソース(リポジトリやスキル)をAIに読み込ませることで、任意のコードを実行させる「HalluSquatting」という手法が報告されました。
■ 影響範囲
- Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI 等のAI開発アシスタント
■ 対応手順
1. AIエージェントによる外部リソース(GitHubリポジトリ等)の自動インストール・クローンを禁止し、人間による承認フローを導入してください。
2. AIが生成した実行計画(プラン)を、実際にコマンドを実行する前に必ずレビューするよう開発者に周知してください。
3. 信頼できないサードパーティ製AIスキルの導入を制限してください。
■ 参考情報
- テルアビブ大学 研究報告
対応優先度: 中
対応期限: 速やかに周知
お疲れさまです。AI開発ツールの利用に関するセキュリティリスクの情報共有です。
■ 概要
LLMがリソース名を誤認する「幻覚」を悪用し、攻撃者が用意した偽のリソース(リポジトリやスキル)をAIに読み込ませることで、任意のコードを実行させる「HalluSquatting」という手法が報告されました。
■ 影響範囲
- Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI 等のAI開発アシスタント
■ 対応手順
1. AIエージェントによる外部リソース(GitHubリポジトリ等)の自動インストール・クローンを禁止し、人間による承認フローを導入してください。
2. AIが生成した実行計画(プラン)を、実際にコマンドを実行する前に必ずレビューするよう開発者に周知してください。
3. 信頼できないサードパーティ製AIスキルの導入を制限してください。
■ 参考情報
- テルアビブ大学 研究報告
対応優先度: 中
対応期限: 速やかに周知
Subject: [Security Alert] Mitigation for 'HalluSquatting' Attack on AI Coding Assistants
Dear IT/Security Team,
We are sharing information regarding a new attack vector called 'HalluSquatting' targeting AI-powered development tools.
■ Overview
This attack exploits LLM hallucinations by pre-registering resource names that AI assistants are likely to hallucinate. Once the AI pulls these malicious resources, adversarial prompts can trigger Remote Code Execution (RCE) via the tool's integrated terminal.
■ Affected Products
- AI assistants including Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, and Gemini CLI.
■ Recommended Actions
1. Disable fully autonomous installation/cloning of external resources by AI agents; implement a mandatory human-in-the-loop approval process.
2. Instruct developers to rigorously review execution plans generated by AI before allowing command execution.
3. Restrict the installation of unverified third-party AI 'skills' or plugins.
■ Reference
- Tel Aviv University Research
Priority: Medium
Deadline: Immediate awareness
Dear IT/Security Team,
We are sharing information regarding a new attack vector called 'HalluSquatting' targeting AI-powered development tools.
■ Overview
This attack exploits LLM hallucinations by pre-registering resource names that AI assistants are likely to hallucinate. Once the AI pulls these malicious resources, adversarial prompts can trigger Remote Code Execution (RCE) via the tool's integrated terminal.
■ Affected Products
- AI assistants including Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, and Gemini CLI.
■ Recommended Actions
1. Disable fully autonomous installation/cloning of external resources by AI agents; implement a mandatory human-in-the-loop approval process.
2. Instruct developers to rigorously review execution plans generated by AI before allowing command execution.
3. Restrict the installation of unverified third-party AI 'skills' or plugins.
■ Reference
- Tel Aviv University Research
Priority: Medium
Deadline: Immediate awareness