연구진이 인기 있는 AI 코딩 도구 9종을 악용해 대규모 봇넷을 조립할 수 있는 새로운 공격 기법을 공개했다. IT 매체 아스테크니카에 따르면 이 공격은 ‘할루스쿼팅(HalluSquatting)’으로 명명됐으며, 프롬프트 인젝션 공격으로는 처음으로 대규모 봇넷 구성과 대규모 분산서비스거부(DDoS), 기기 대량 감염의 가능성을 열었다. 영향을 받는 도구는 커서(Cursor)와 커서 CLI, 제미나이 CLI, 윈드서프(Windsurf), 깃허브 코파일럿(GitHub Copilot), 클라인(Cline), 오픈클로(OpenClaw), 제로클로(ZeroClaw), 나노클로(NanoClaw)다.
프롬프트 인젝션은 AI 보안에서 가장 큰 위협으로 빠르게 자리 잡았다. 대규모 언어 모델(LLM)은 사용자가 준 정당한 지시와, 이메일·소스코드·외부 콘텐츠에 몰래 숨겨진 악의적 지시를 근본적으로 구분하지 못한다. 이 경계를 강제할 방법이 없어, AI 엔진 개발사들은 근본 원인을 없애기보다 피해를 줄이는 정교한 가드레일을 쌓는 데 그쳐 왔다. 지금까지 대부분의 프롬프트 인젝션은 공격자가 개별 피해자를 겨냥해 악성 지시를 밀어 넣는 ‘푸시(push)’ 방식이라 대규모 공격에는 한계가 있었다.
할루스쿼팅은 이 구도를 바꾼다. ‘적대적 환각 스쿼팅(adversarial hallucination squatting)’의 줄임말인 이 기법은 LLM이 저장소나 레지스트리의 리소스 식별자를 환각으로 지어내는 고유한 경향을 파고든다. AI 코딩 에이전트와 어시스턴트는 일상 작업에서 저장소·레지스트리로부터 코드와 리소스를 습관적으로 끌어오는데, 이 과정에서 높은 권한의 명령줄을 통해 외부 코드를 실행하는 경우가 많다.
공격자는 LLM이 가장 지어내기 쉬운 식별자를 예측한 뒤, 그 이름을 미리 등록하고 리버스 셸 설치 등 악성 지시를 심어 둔다. 그러면 에이전트가 존재하지 않는 리소스를 환각으로 요청하다가 공격자가 심은 가짜 리소스에 도달해, 개별 표적을 노리지 않고도 무차별적으로 방대한 기기를 감염시킬 수 있다. 웹사이트에 심긴 악성 프롬프트를 LLM이 능동적으로 찾아가는 ‘풀(pull)’ 방식이 대규모로 확장 가능해진 첫 사례로, AI 코딩 도구 사용자에게 새로운 위험 신호로 받아들여진다.














