AIコーディングツール9種にボットネット化の脆弱性
攻撃の仕組み
詳細を読む
セキュリティ研究者は、CursorやGitHub Copilotなど人気のAIコーディングツール9種に、大規模なボットネットを構築できる新たな攻撃手法が存在すると明らかにしました。「HalluSquatting」と名付けられたこの手法は、大規模言語モデル(LLM)が実在しない識別子を幻覚(ハルシネーション)する性質を突くもので、プロンプトインジェクション攻撃として初めて不特定多数の端末を一斉に感染させる可能性があります。
プロンプトインジェクションは、AIセキュリティ上で最大の脅威とされています。LLMは、利用者の正規の指示と、メールやソースコードに紛れ込んだ悪意ある命令とを区別できず、攻撃者が仕込んだコマンドをそのまま実行してしまうためです。信頼できる情報源とそうでない情報源の境界を強制する手段がなく、開発各社は根本原因を解決できないまま防御策の構築を迫られています。
従来のプロンプトインジェクションは、標的ごとに命令を送り込む「プッシュ型」が中心で、攻撃規模は限られていました。一方、LLMが自ら悪意あるサイトを訪れる「プル型」も、多数のモデルを誘導する手立てがなく、大規模化は難しいとされてきました。
HalluSquattingは、このプル型の限界を覆します。研究者は、AIエージェントがコードやリソースを外部のリポジトリやレジストリから日常的に取得する点に着目しました。LLMが実在しない識別子を予測的に生成する傾向を逆手に取り、その識別子を先回りして登録し、リバースシェルなどの不正な命令を仕込むことで、標的を一つずつ狙わずに大量の端末へ感染を広げられます。
影響を受けるのは、Cursor、Cursor CLI、Gemini CLI、Windsurf、GitHub Copilot、Cline、OpenClaw、ZeroClaw、NanoClawの9種です。これらは高い権限でコマンドラインを操作し、外部のコードを実行するため、攻撃が成立すれば大規模なDDoSや端末の乗っ取りにつながる恐れがあります。AI開発の現場が、利便性と安全性の両立という新たな課題に直面していると言えるでしょう。