AI 보안 연구자들이 대규모 봇넷 구축에 악용될 수 있는 새로운 공격 기법을 발견했다. 이 공격은 커서(Cursor), 제미나이 CLI(Gemini CLI), 윈드서프(Windsurf), 깃허브 코파일럿(GitHub Copilot), 클라인(Cline), 오픈클로우(OpenClaw), 제로클로우(ZeroClaw), 나노클로우(NanoClaw) 등 9개의 인기 있는 AI 코딩 어시스턴트와 에이전트를 표적으로 한다.
'할루스쾃팅(HalluSquatting)'이라 명명된 이 공격 기법은 대규모 분산 서비스 거부(DDoS) 공격과 대규모 기기 감염을 가능하게 하며, 프롬프트 주입 공격 역사상 처음으로 이 수준의 확장성을 갖춘다. 공격은 AI 모델이 리포지토리와 레지스트리에서 코드를 끌어올 때 리소스 식별자를 잘못 생성하는 '할루시네이션(hallucination)' 현상을 이용한다. 해커들은 AI가 가장 가능성 높게 생성할 식별자를 예측한 후 이를 등록하고 역셸(reverse shell) 등 악성 코드 설치 명령어를 심을 수 있다.
지금까지 프롬프트 주입 공격은 주로 이메일이나 캘린더 초대장에 악의적 명령어를 삽입하는 '푸시(push)' 방식으로 진행되어 왔으며, 각 피해자를 개별적으로 표적해야 하기 때문에 대규모 확산이 제한적이었다. 새로운 '풀(pull)' 기반 공격인 할루스쾃팅은 AI 모델이 능동적으로 악성 리소스를 찾아 실행하도록 유도해 개별 표적 없이도 수많은 기기를 동시에 감염시킬 수 있다는 점에서 획기적이다.