HalluSquatting : la nouvelle menace qui détourne les assistants de codage IA pour créer un botnet
Près de 85 % des requêtes vers un dépôt populaire aboutissent à l’invention du même nom fictif par l’assistant IA. Ce chiffre, issu des travaux de l’université de Tel-Aviv, illustre la faille exploitée par une nouvelle technique d’attaque baptisée HalluSquatting. Contrairement aux menaces classiques, celle-ci ne nécessite ni mot de passe faible, ni pièce jointe malveillante. Elle repose sur un simple défaut : la tendance des grands modèles de langage à halluciner des noms de ressources qui n’existent pas. En les enregistrant avant tout le monde, un attaquant peut prendre le contrôle de l’assistant de codage, lui faire exécuter des commandes arbitraires et, à terme, constituer un botnet. Cet article décrit le mécanisme, les implications pour les équipes de sécurité et les mesures concrètes à mettre en œuvre dès aujourd’hui.
By Églantine Montclair
lire plus