Serangan HalluSquatting Baru Bisa Menipu Asisten Kode AI Pasang Malware Botnet

Jul 8, 2026 - 22:40
 0  3
Serangan HalluSquatting Baru Bisa Menipu Asisten Kode AI Pasang Malware Botnet

Serangan HalluSquatting Baru Bisa Menipu Asisten Kode AI Pasang Malware Botnet

Ad
Ad

Asisten kode berbasis AI dikenal kerap membuat informasi palsu. Saat diminta mengambil sebuah alat populer, mereka terkadang mengembalikan nama proyek yang terdengar asli tapi sebenarnya tidak ada. Penelitian terbaru yang disebut HalluSquatting memanfaatkan kebiasaan ini menjadi serangan: pelaku mendaftarkan nama-nama palsu yang sering dibuat AI terlebih dahulu, lalu menunggu asisten AI mengambil "perangkap" tersebut atas nama pengguna.

Siapa pun yang menggunakan asisten AI yang dapat mengambil sumber daya dari luar dan menjalankan perintah tanpa banyak pengawasan manusia berisiko. Dalam pengujian, jalur ini memungkinkan asisten menjalankan kode yang disediakan penyerang di mesin pengguna. Jika sumber daya yang dipalsukan cukup populer, satu nama yang ditanam bisa menjangkau banyak mesin, sehingga para peneliti menggambarkannya sebagai cara baru membangun botnet.

Cara Kerja Serangan HalluSquatting

Serangan ini menggabungkan dua kekhasan AI. Pertama, hallucination atau halusinasi, yaitu AI yang membuat sesuatu dan menyajikannya sebagai fakta. Kedua, prompt injection, yaitu instruksi jebakan yang membajak AI sehingga mengikuti perintah penyerang, bukan pengguna.

Di sini, injeksi terjadi secara tidak langsung, lewat konten yang diambil asisten, bukan dari input langsung pengguna.

  1. Pilih target. Penyerang mencari repositori atau plugin yang sedang tren sehingga banyak pengguna AI memintanya.
  2. Pelajari kesalahan AI. Penyerang meminta AI mengambil sumber tersebut berulang kali dan mencatat nama palsu yang paling sering muncul.
  3. Daftarkan nama palsu. Penyerang mendaftarkan nama tersebut di GitHub atau toko plugin dan menyisipkan instruksi berbahaya di dalamnya.
  4. Tunggu pengguna nyata. Saat pengguna meminta asisten mengambil sumber populer, asisten membuat nama palsu yang sama dan menarik versi penyerang. Instruksi tersembunyi masuk ke perintah yang dijalankan asisten tanpa disadari.

Perangkap ini bukan kode yang berjalan sendiri. Ia bekerja karena asisten AI biasanya memiliki terminal atau alat perintah bawaan yang bisa menjalankan instruksi. Setelah instruksi berbahaya mengambil alih, perintah seperti "pasang bot" bisa dieksekusi langsung.

Fakta Menarik Tentang Konsistensi Kesalahan AI

Yang membuat serangan ini praktis adalah nama palsu yang dibuat AI tidak acak. Dalam eksperimen para peneliti, kesalahan tersebut konsisten: dalam berbagai cara bertanya dan model dari perusahaan berbeda, asisten memilih nama palsu yang sama hingga 85% untuk repositori dan 100% untuk instalasi skill. Ini menunjukkan prediktabilitas yang tinggi dari kesalahan AI.

Mereka menguji serangan ini pada berbagai alat seperti Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI dari Google, dan keluarga OpenClaw, dan berhasil menjalankan kode penyerang. Payload yang digunakan hanya placeholder aman, bukan malware sesungguhnya, namun jalurnya sama jika kode berbahaya dijalankan.

Asal Usul dan Konteks Serangan HalluSquatting

Penelitian ini dilakukan oleh Aya Spira dan kolega dari grup Ben Nassi di Universitas Tel Aviv, bersama Stav Cohen dari Technion dan Ron Bitton dari Intuit. Grup Nassi sebelumnya juga menciptakan worm email AI yang menyebar sendiri dan undangan kalender yang membajak Google Gemini.

Mereka telah memberi tahu vendor, pembuat model, dan operator pasar sebelum publikasi, serta menahan rincian langkah agar serangan ini tidak mudah disalin.

Berbeda dengan botnet tradisional yang membutuhkan upaya besar seperti eksploitasi kata sandi lemah atau malware yang menyebar dari mesin ke mesin, HalluSquatting tidak memerlukan itu. Tidak ada kata sandi yang diretas, tidak ada worming, dan payload datang dalam bentuk teks yang dibaca AI, bukan eksploitasi jaringan yang biasa diawasi firewall. Mesin yang terinfeksi bisa beragam OS-nya.

Di sini, AI berperan sebagai "kendaraan pengantar", bukan muatan. Instruksi berbahaya menipu AI agar menginstal bot biasa, dan saat bot itu aktif, mesin itu jadi bagian botnet seperti botnet konvensional. Yang baru adalah kombinasi unik: nama palsu yang diprediksi AI, pasar yang mengizinkan siapa saja mendaftarkan nama tersebut, dan agen yang punya izin mengambil dan menjalankan kode.

Serangan ini merupakan evolusi dari teknik sebelumnya seperti "slopsquatting" yang dideteksi di awal 2026, di mana paket software palsu yang dibuat AI didaftarkan peneliti untuk mencegah penyalahgunaan. Contohnya adalah paket npm "react-codeshift" yang telah tersebar ke ratusan proyek kode.

Selain itu, teknik ini juga terkait dengan fenomena "phantom squatting" yang melibatkan domain palsu yang belum didaftarkan dan siap disalahgunakan. Namun HalluSquatting membawa ancaman ini ke level lebih berbahaya karena mampu menjalankan kode secara langsung melalui agen AI.

Langkah Pencegahan dan Mitigasi

Serangan ini bergantung pada satu kondisi: agen AI yang mengambil sumber daya eksternal dan menjalankan kodenya tanpa verifikasi manusia. Menutup celah ini merupakan solusi paling efektif dan sederhana.

  • Lakukan pencarian nyata sebelum mengambil. Asisten harus memeriksa keberadaan sumber yang diminta secara aktual sehingga mengurangi kesalahan tebak.
  • Nonaktifkan mode auto-run tanpa izin. Mode seperti skip-permissions di Claude Code atau yolo mode di Gemini CLI sangat berisiko.
  • Gunakan lapisan pengamanan tambahan. Beberapa alat menambahkan pemeriksaan otomatis sebelum mengeksekusi, meski ini menurunkan risiko, bukan menghilangkannya.
  • Verifikasi nama repositori atau paket. Pastikan nama tersebut benar-benar milik sumber yang diharapkan sebelum diambil.
  • Platform harus membatasi pendaftaran ulang nama populer. Mendaftarkan nama palsu yang sering dibuat AI secara proaktif dapat mencegah penyerang menggunakan trik ini.

Analisis Redaksi

Menurut pandangan redaksi, serangan HalluSquatting menandai babak baru dalam risiko keamanan AI yang selama ini kurang disadari. Tidak hanya sekadar kesalahan dalam output AI, tetapi juga eksploitasi serius yang dapat mengubah AI dari alat bantu menjadi vektor serangan aktif. Ini menunjukkan bahwa pengembangan AI tidak boleh hanya fokus pada kemampuan teknis, tetapi juga harus memperkuat lapisan keamanan yang mencegah manipulasi nama dan eksekusi kode tanpa pengawasan ketat.

Lebih jauh, serangan ini membuka wawasan tentang bagaimana model AI yang diandalkan jutaan pengguna bisa menjadi pintu masuk botnet yang sulit dideteksi. Dengan kecepatan penyebaran dan sifatnya yang lintas platform, potensi kerugian sangat besar, terutama bagi organisasi yang mengintegrasikan AI dalam alur kerja otomatis mereka.

Ke depan, pembuat AI dan platform distribusi harus berkolaborasi untuk membangun mekanisme validasi nama dan sumber daya yang lebih canggih, serta menerapkan kontrol ketat atas eksekusi perintah yang diambil secara otomatis. Pengguna juga harus lebih waspada dan tidak membiarkan mode auto-run tanpa pengawasan aktif. Tren ini adalah pengingat bahwa keamanan AI adalah bagian krusial dari ekosistem teknologi modern.

Untuk informasi lebih lanjut dan pembaruan tentang keamanan AI, kunjungi sumber asli artikel ini di The Hacker News dan pantau berita teknologi terkini dari Kompas Tekno.

What's Your Reaction?

Like Like 0
Dislike Dislike 0
Love Love 0
Funny Funny 0
Angry Angry 0
Sad Sad 0
Wow Wow 0
admin As a passionate news reporter, I am fueled by an insatiable curiosity and an unwavering commitment to truth. With a keen eye for detail and a relentless pursuit of stories, I strive to deliver timely and accurate information that empowers and engages readers.
Ad
Ad