Nine av de mest utbredte AI-verktøyene på markedet kan misbrukes til å sette opp massive botnett, viser ny forskning fra Palo Alto Networks' sikkerhetsenhet Unit 42. Angrepsvektoren har fått navnet «HalluSquatting» — og den bygger på noe mange brukere allerede kjenner til som et irritasjonsmoment: at AI-modeller finner på ting.
Hva er HalluSquatting?
Når en AI-modell ikke vet svaret på et spørsmål, sier den sjelden «jeg vet ikke». I stedet genererer den et svar som høres plausibelt ut — komplett med domenenavn, nedlastingslenker og pakkenavn som faktisk ikke eksisterer. Dette er kjent som hallusinering.
HalluSquatting tar denne svakheten og gjør den til et våpen. Angripere analyserer hvilke falske domener og pakkenavn AI-modeller tenderer til å oppdikter — og registrerer dem deretter. Når en utvikler ber AI-assistenten om hjelp til å installere et bibliotek eller finne en ressurs, kan hen ubevisst bli sendt til en side kontrollert av en kriminell aktør.
Ifølge Ars Technica er dette ikke en hypotetisk trussel: Unit 42 analyserte 2,1 millioner URL-er generert av to store språkmodeller og fant over 13 000 bekreftede ondsinnede lenker.

Skalaen gjør det ekstra farlig
Et særlig urovekkende funn er at ulike AI-modeller ofte hallusinerer de samme navnene. Det betyr at en angriper som registrerer ett enkelt falskt domene, potensielt kan nå brukere på tvers av mange forskjellige verktøy og plattformer — alt fra utviklerverktøy til kunderelaterte chatboter.
Ulike modeller hallusinerer ofte de samme navnene — én enkelt ondsinnet registrering kan ramme brukere på tvers av mange verktøy samtidig.
Dette åpner for klassiske angrepsscenarier som phishing-sider, distribusjon av skadelig programvare og angrep mot programvarekjeden (supply-chain attacks) — alt initiert ved at en bruker følger en lenke AI-modellen selv har funnet opp.
Norske utviklere og bedrifter er eksponert
De ni sårbare verktøyene som nevnes i forskningen, er blant de mest brukte i bransjen globalt — og dermed også i Norge. Utviklere som bruker AI-kodingsassistenter til å finne pakker, biblioteker eller dokumentasjon, er særlig i risikogruppen. Det samme gjelder bedrifter som har integrert AI-chatboter i kundeflater der brukere kan bli anbefalt eksterne lenker.
Sårbarhetene berører ikke én spesifikk feil i koden, men selve arkitekturen til språkmodeller: de er trent til å generere sannsynlige svar, ikke til å verifisere om det de sier faktisk stemmer.
Slik kan verktøyutviklere beskytte seg
Sikkerhetsforskere beskriver flere tiltak som kan redusere risikoen betydelig, ifølge Unit 42s analyse:
OpenAI har ifølge forskningsmaterialet demonstrert over 30 prosent reduksjon i hallusinering på kliniske spørsmål etter finjustering på medisinske datasett. Meta AI skal ha utviklet en dedikert hallusinasjonsdeteksjonsmodell som flagget feil i 92 prosent av testtilfellene.
Det er imidlertid grunn til å minne om at disse tiltakene ikke er universelt implementert. Forskerne bak Unit 42-analysen understreker at mange verktøy fremdeles mangler grunnleggende beskyttelsesmekanismer mot denne typen utnyttelse — noe som gjør HalluSquatting til en aktiv og reell trussel per i dag.
Hva bør brukere gjøre?
Inntil leverandørene implementerer tilstrekkelige sikkerhetstiltak, bør utviklere og andre fagbrukere alltid verifisere domener, pakkenavn og lenker som AI-verktøy foreslår, mot offisielle og kjente kilder. Kopiér aldri en lenke blindt fra en AI-respons — søk opp pakken direkte i offisielle registre som npm, PyPI eller lignende.
For bedrifter som tilbyr AI-drevne kundeflater, er det viktig å sikre at modellen ikke kan generere eksterne lenker uten en verifiseringsmekanisme i bakgrunnen.
