Az arXivra feltöltött HalluSquatting-kutatás, valamint a The Hacker News és a Tom’s Hardware friss összefoglalója szerint az AI-agentek egyik kellemetlen szokása most már támadási felület: ha a modell kitalál egy nem létező GitHub-repót vagy skillnevet, egy támadó előre lefoglalhatja azt, és elérheti, hogy az agent a rossz helyről húzzon be utasításokat.

// ai/mi · 2026.05.18 A NIST szerint az AI-agentek teljesen új biztonsági kockázatokat hoznak Az amerikai NIST (National Institute of Standards and Technology) közzétette annak az iparági konzultációnak az összegzését, amelyben vállalatok, kutatók és biztonsági szakértők mondhatták el véleményüket… olvasás →

Szerverterem, amely az AI-agentek futtatási környezetét illusztrálja
Forrás: CSIRO / Wikimedia Commons, CC BY 3.0

Mi az a HalluSquatting?

A HalluSquatting röviden az, amikor a támadó nem elgépelésekre vadászik, hanem arra, amit az AI várhatóan magától kitalál. Ha egy friss, népszerű eszköz még nincs benne biztosan a modell tudásában, az agent könnyen ad egy hihetőnek tűnő, de hamis repo- vagy csomagnevet. A támadó ezt a nevet regisztrálja, majd olyan instrukciót rejt el benne, amelyet az agent később saját feladatának tekinthet.

Ez azért veszélyesebb, mint egy egyszerű rossz link, mert sok fejlesztői agent már nem csak válaszol, hanem klónoz, telepít, terminálparancsot futtat, fájlokat módosít. Ha a felhasználó mindent jóváhagyás nélkül enged, a hallucinált név nem kis hiba marad, hanem belépési pont.

A kutatók több ismert eszköznél is lefuttatták

A tanulmány szerzői, Aya Spira, Stav Cohen, Elad Feldman, Ron Bitton, Avishai Wool és Ben Nassi több termékosztályt vizsgáltak. A beszámolók szerint Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI és OpenClaw-változatok is szerepeltek a tesztekben. A kutatók nem éles kártékony kódot futtattak, hanem bizonyító jellegű, ártalmatlan payloadokat használtak.

A számok ettől még elég kényelmetlenek. A publikáció szerint a hallucinált erőforrás-nevek bizonyos repository-klónozási helyzetekben akár 85 százalékos arányig, skilltelepítésnél pedig egyes esetekben 100 százalékig is felmentek. A valós alkalmazásszinten mért kódfuttatási arány eszköztől és helyzettől függően alacsonyabb volt, de nem nullához közeli.

A botnetes rész nem science fiction

A botnet szó elsőre túl nagynak hangzik, de itt nem arról van szó, hogy az AI önállóan vírust ír és terjeszt. A lánc prózaibb. A felhasználó megkéri az agentet, hogy húzzon be egy eszközt. Az agent rossz nevet talál ki. A támadó által lefoglalt név alatt ott vár az instrukció. Az agent elolvassa, majd ha van terminál-hozzáférése és nincs emberi fék, lefuttat valamit.

Innentől a gép már ugyanúgy kompromittálható, mint bármely más fertőzésnél. A különbség az útvonal: nem egy sebezhető routert vagy gyenge jelszót keres a támadó, hanem azt használja ki, hogy az agent hihetőnek érzi a saját találmányát. Ez az igazán zavaró rész. A hiba nem látványos, nem feltétlenül dob riasztást, és pont ott történik, ahol a felhasználó gyorsítást várt.

Mit lehet tenni ellene?

A legfontosabb védelem egyszerű, csak kényelmetlen: az agent ne telepítsen és ne futtasson semmit automatikusan olyan forrásból, amelyet előtte nem ellenőrzött. A kutatók és a biztonsági beszámolók is ugyanoda futnak ki: keresés, forrásellenőrzés, explicit jóváhagyás, kevesebb jogosultság.

Fejlesztői környezetben ez azt jelenti, hogy a „yolo” jellegű módokkal óvatosan kell bánni. Egy agent lehet hasznos társ refaktorálásnál vagy tesztírásnál, de ha közben bármilyen frissen talált GitHub-repót klónozhat, telepíthet és parancsot futtathat, akkor már nem kényelmi funkcióról beszélünk, hanem távoli kódfuttatási kockázatról.

Az AI-agenteknél a név is biztonsági adat lett

A HalluSquatting tanulsága elég száraz, de fontos: egy repo-, csomag- vagy skillnév többé nem puszta szöveg, ha egy agent automatikusan cselekszik rá. Ugyanúgy ellenőrizni kell, mint egy letöltött binárist vagy egy ismeretlen shell scriptet.

A The Hacker News részletesen végigvette a támadási láncot, a Tom’s Hardware pedig külön kiemelte, hogy a kutatás szerint a friss, 2025-ös repository-neveknél jóval magasabb volt a téves URL-generálás, mint régebbi, már beágyazódott projektek esetén. Ez pont az a sáv, ahol a fejlesztők és az AI-agentek a legtöbbet kísérleteznek.

Ettől nem kell kidobni az AI-kódoló eszközöket. De azt igenis érdemes elengedni, hogy az agent majd biztosan tudja, mit keres. A modell találgat. A támadó erre épít. A felhasználónak és az eszköz készítőjének kell visszatenni azt az ellenőrzési pontot, amit a kényelem kedvéért sok workflow-ból kivettek.