Une nouvelle méthode d'attaque ciblant les assistants de codage alimentés par intelligence artificielle vient d'être identifiée. Baptisée « HalluSquatting », elle tire parti de la tendance des grands modèles de langage (LLM) à générer des identifiants de ressources inexistants dans les dépôts et registres de code. En prédisant ces noms erronés, des acteurs malveillants peuvent enregistrer les ressources correspondantes et y injecter des instructions malveillantes, infectant ainsi un grand nombre de terminaux sans avoir à cibler chaque victime individuellement.

Dans l'histoire de la sécurité des systèmes d'IA, l'injection de prompts est rapidement devenue la menace principale. Les LLM peinent en effet à distinguer les instructions légitimes des commandes dissimulées dans des contenus tiers. Les attaques dites « push » (par envoi ciblé) restent limitées en ampleur, car chaque cible doit recevoir un message infecté. Les attaques « pull » (par attraction), où le modèle va chercher lui-même les instructions adverses, étaient jusqu'à présent peu efficaces faute de pouvoir attirer un grand nombre de systèmes vers un site malveillant.

Une rupture d'échelle

Le HalluSquatting change la donne en rendant possible une exploitation massive de type « pull ». Les chercheurs ont identifié que les assistants de codage – parmi lesquels Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw et NanoClaw – sont tous vulnérables. Dans le cadre de leurs tâches quotidiennes, ces outils téléchargent régulièrement du code et d'autres ressources depuis des dépôts et registres. En enregistrant des identifiants que les LLM sont susceptibles d'halluciner, un attaquant peut placer des instructions visant à installer des shells inversés ou d'autres logiciels malveillants. Une fois que l'assistant de codage exécute ces instructions, l'attaquant prend le contrôle de l'appareil.

Selon l'étude publiée par les chercheurs, « la propriété de passage à l'échelle de l'attaque permet à l'attaquant de compromettre un grand nombre d'utilisateurs avec un effort minimal en ciblant des ressources populaires, maximisant ainsi la probabilité que la ressource usurpée soit récupérée ». En exploitant les terminaux et shells intégrés des applications agentiques pour exécuter des scripts, les attaquants peuvent « infecter » de nombreuses applications agentiques indépendantes en y intégrant des instructions d'installation de shells inversés.

Des implications vastes

Le HalluSquatting représente une première dans le domaine des injections de prompts : il permet de constituer des botnets de grande envergure, de mener des attaques par déni de service distribué (DDoS) à grande échelle et d'infecter des appareils en masse. Les chercheurs soulignent que cette méthode exploite une faille fondamentale des LLM : leur incapacité à dire « je ne sais pas », qui les pousse à halluciner des identifiants plausibles.

Les implications pour la sécurité des infrastructures logicielles sont significatives. Les équipes de développement utilisant ces assistants doivent redoubler de vigilance quant aux ressources téléchargées automatiquement. Des contre-mesures, comme la vérification systématique des identifiants de ressources auprès de sources de confiance, sont à l'étude. La publication complète des travaux des chercheurs – une équipe menée par Spira – détaille l'ensemble de la menace et propose des pistes de défense.

À ce stade, aucun correctif n'a été diffusé par les éditeurs des outils concernés. Les utilisateurs sont invités à limiter les privilèges accordés aux assistants de codage et à surveiller les connexions sortantes inhabituelles depuis leurs terminaux de développement.