【要約】New attack exploits popular AI tools to build scalable agentic botnets [Ars_Technica] | Summary by TechDistill
> Source: Ars_Technica
Execute Primary Source
// Problem
AIエージェントが外部リソースを取得する際、指示されたリポジトリやスキルの正確な場所を特定できないという課題がある。
- ・LLMは未知の識別子に対し、存在しない名前を生成するハルシネーションを起こす。
- ・新しいリソース(2025年製など)では、ハルシネーション率が92.4%に達する。
- ・従来の攻撃は個別標的型(Push型)であり、大規模な展開が困難であった。
// Approach
研究者は、LLMの予測可能なハルシネーションパターンを悪用する「HalluSquatting」という手法を考案した。
- ・LLMが生成しやすい誤ったリポジトリ名や所有者名を事前に予測する。
- ・予測した名前で、悪意あるコードを含むリポジトリを事前に登録(Squatting)する。
- ・AIエージェントが誤ってそのリソースをPullし、権限のあるシェルで実行するのを待つ。
// Result
この攻撃手法により、AIエージェントを介した大規模かつ自動的なデバイス感染が可能となった。
- ・個別の標的を狙う手間を省き、広範囲のユーザーを効率的に攻撃できる。
- ・大規模なボットネット構築、DDoS攻撃、暗号資産マイニングへの転用が可能。
- ・Gemini-2.5、GPT-5.1、Sonnet-4.5等の主要モデルすべてに共通する脅威である。
Senior Engineer Insight
> AIエージェントにターミナル操作権限を与えることの危うさが露呈した。エージェントの利便性とセキュリティはトレードオフの関係にある。AIが正しい場所を参照するという前提は、もはや通用しない。リソース取得時の検証プロセスや、実行権限の最小化(Least Privilege)が不可欠だ。開発環境への導入には、極めて慎重なガードレール設計が求められる。