人気AIツール9種でボットネット構築可能な脆弱性
原題: Hackers can use 9 of the most popular AI tools to assemble massive botnets
なぜ重要か
AIコーディングアシスタントの普及に伴い、LLMのハルシネーション特性を悪用した大規模サプライチェーン攻撃リスクが業界全体の新たなセキュリティ課題として浮上した。
セキュリティ研究者が2026年7月8日に発表した論文によると、「HalluSquatting」と呼ばれる新手法により、Cursor、Gemini CLI、GitHub Copilotなど人気AIコーディングツール9種が大規模ボットネット構築やDDoS攻撃、マルウェア感染に悪用可能であることが判明した。LLMの「ハルシネーション」特性を悪用するpull型プロンプトインジェクション攻撃であり、個別ターゲットを必要としない点が従来手法と大きく異なる。
セキュリティ研究者らが発表した論文では、LLM(大規模言語モデル)固有の弱点を悪用した新攻撃手法「HalluSquatting」(Adversarial Hallucination Squatting)の詳細が明らかにされた。
この攻撃の対象となるのは、AIコーディングアシスタントおよびエージェントの9種類で、具体的にはCursor、Cursor CLI、Gemini CLI、Windsurf、GitHub Copilot、Cline、OpenClaw、ZeroClaw、NanoClawが挙げられている。
攻撃の仕組みは、LLMがリポジトリやレジストリに存在するリソース識別子を「ハルシネーション(幻覚)」する傾向を利用する。AIコーディングアシスタントは日常的に外部リポジトリからコードやリソースを取得するが、LLMが存在しない識別子を誤って参照・生成することがある。攻撃者はLLMが最もハルシネーションを起こしやすい識別子を事前に予測し、そのパッケージ名やリポジトリ名をあらかじめ登録(スクワッティング)しておく。そこにリバースシェルや悪意あるコードを仕込んでおくことで、AIエージェントが自動的にそれを取得・実行し、端末が感染する。
AIセキュリティにおける主要脅威はこれまで「push型」プロンプトインジェクション(個別メールやカレンダー招待に悪意ある命令を埋め込む方式)が中心だった。この方式は攻撃者が各ターゲットに個別に送信する必要があるため、大規模展開が困難だった。一方、HalluSquattingは「pull型」攻撃であり、攻撃者が各ターゲットを個別に狙う必要がなく、不特定多数のデバイスを一度に感染させられる点が従来と根本的に異なる。
研究者らは論文内で「この攻撃のスケーラビリティにより、攻撃者は最小限の労力で多数のユーザーを侵害できる。人気のあるリソースを標的にすることで、スクワットされたリソースが取得される可能性を最大化できる」と述べている。また、AIエージェントアプリケーションが統合されたシェルやターミナルを通じてスクリプトを実行することで、多数の独立したエージェントアプリケーションを実質的に「感染」させられるとしている。
LLMがプロンプトインジェクションに対して根本的な対策を講じられない理由は、信頼できる命令源と信頼できない外部コンテンツを区別する手段を持たないためであり、AIエンジン開発者は根本原因への対処ではなく被害軽減のための手段を模索している状況にある。