Uma técnica de ataque inovadora explora uma limitação dos modelos de inteligência artificial, com potencial para comprometer um grande número de computadores.
De acordo com informações da Ars Technica, essa descoberta envolve nove ferramentas amplamente utilizadas por programadores e revela como uma particularidade dos assistentes de IA pode ser manipulada por criminosos.
Quando a IA cria um caminho
Intitulado HalluSquatting, o ataque se aproveita de uma característica reconhecida dos modelos de linguagem: quando não conseguem encontrar um projeto específico, esses sistemas podem gerar um endereço fictício em vez de admitir a falha.
A princípio, isso pode parecer um detalhe técnico insignificante. No entanto, é exatamente nesse ponto que o golpe se inicia. Os criminosos registram esses endereços fictícios previamente, inserem códigos maliciosos e aguardam que um assistente de programação faça tentativas automáticas de acesso.
A pesquisa indica que essa técnica é eficaz contra ferramentas bastante conhecidas, incluindo:
- Cursor e Cursor CLI;
- Gemini CLI;
- GitHub Copilot;
- Windsurf, Cline, OpenClaw, ZeroClaw e NanoClaw.
Um ataque que se expande sozinho
Diferentemente das injeções de prompt, que normalmente requerem ações específicas contra cada alvo, o HalluSquatting altera completamente essa abordagem.
Neste caso, são os próprios agentes de IA que buscam projetos durante suas atividades rotineiras. Segundo os pesquisadores, “a escalabilidade do ataque permite ao invasor comprometer um número elevado de usuários com esforço reduzido”.
Se o desenvolvedor solicitar a instalação de um projeto recentemente lançado e o sistema falhar na localização do endereço correto, existe a possibilidade de acessar exatamente a página montada pelo criminoso.
Projetos novos como alvo principal
Os testes demonstraram que os LLMs conseguem identificar corretamente a maior parte dos projetos lançados antes de 2019. Em contrapartida, entre os lançamentos previstos para 2025, a taxa média de alucinação atinge impressionantes 92,4%.
Leia mais:
- Alerte sobre segurança: Claude Code é alvo na China; entenda
- EUA: agência utiliza IA da Anthropic para detectar falhas em sistemas governamentais
- Nova IA chinesa rivaliza com Mythos da Anthropic em testes cibernéticos; descubra qual é
Como esses projetos ainda não estão incluídos no treinamento dos modelos, as chances aumentam para que a IA crie endereços inexistentes. A equipe também identificou padrões previsíveis nas respostas geradas, facilitando o registro antecipado desses nomes por invasores.
Uma simples alucinação pode abrir as portas
Caso o código malicioso seja executado com sucesso, a máquina pode ser integrada a uma rede controlada remotamente pelos criminosos.
Os pesquisadores destacam riscos relevantes como:
- formação de botnets;
- ataques ransomware;
- ataques distribuídos de negação de serviço (DDoS);
- mineração ilegal de criptomoedas.
Michael Bargury, CTO da Zenity, expressou sua preocupação: “É uma pesquisa bastante interessante e a ameaça é muito real”. Por sua vez, Johann Rehberger comentou que o modo como os LLMs localizam projetos pode dar origem a um novo vetor para ataques.
A pesquisa enfatiza a necessidade de supervisão humana em relação aos assistentes de IA. Antes da instalação de projetos ou componentes sugeridos automaticamente, é fundamental verificar se a origem está realmente relacionada ao recurso desejado. Essa simples precaução pode evitar que uma alucinação do modelo resulte em uma brecha na segurança.

