Pesquisadores da Universidade de Tel Aviv, do Technion e da Intuit demonstraram uma nova classe de ataque chamada HalluSquatting, que transforma a tendencia de alucinacao dos LLMs em vetor escalavel de infeccao. O metodo pre-registra nomes de repositorios e pacotes que os modelos inventam com frequencia quando pedidos para buscar recursos populares, atingindo taxas de alucinacao de 85% em prompts de clonagem e 100% em prompts de instalacao de skills. O resultado sao botnets agentic capazes de comprometer maquinas de desenvolvedores atraves de ferramentas como Cursor, GitHub Copilot, Windsurf, Cline e Gemini CLI.
Um novo trabalho academico batizou a tecnica de adversarial hallucination squatting. Ate agora, a comunidade tratava as alucinacoes de LLMs como problema de qualidade, um ruido que a engenharia de prompt e retrieval augmented generation buscavam reduzir. Os pesquisadores demonstraram que o mesmo comportamento pode ser transformado em canal ofensivo por atacantes sem qualquer acesso direto ao usuario final ou a sua sessao de IA.
Ate hoje, ataques de promptware conhecidos exigiam um canal direto: e-mail, log, comentario ou notificacao que chegasse ao contexto do LLM. O HalluSquatting muda essa dinamica ao explorar um comportamento intrinseco do modelo, sem depender de canal de entrega personalizado, tornando o alcance potencialmente global.
Os fornecedores afetados foram notificados antes da publicacao, e o time academico afirma ter omitido detalhes de exploracao considerados diretamente reutilizaveis por atacantes. Mesmo assim, o mecanismo geral do ataque foi descrito de forma clara o suficiente para orientar novas pesquisas ofensivas.
O ataque parte de um mapeamento: os pesquisadores catalogam nomes de repositorios e pacotes que LLMs frequentemente inventam quando recebem prompts populares de desenvolvimento. Os testes mostram que 85% das solicitacoes de clonagem em experimentos resultaram em nomes hallucinados, e as pedidas de instalacao de skills chegaram a 100%.
Mais critico ainda: os mesmos nomes tendem a se repetir entre foundation models diferentes. Isso significa que o mesmo squatting funciona simultaneamente contra Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw e outros clientes que dependem desses modelos base. Registrado o nome hallucinado em um GitHub, npm ou similar, o atacante planta instrucoes maliciosas.
Quando o desenvolvedor desavisado pede ao assistente para clonar o repositorio ou instalar a skill, o proprio LLM traz o payload malicioso e o executa via terminal integrado. As instrucoes injetadas podem escalar para baixar novas ferramentas, exfiltrar tokens ou instalar familias inteiras de malware.
“Botnets tradicionais dependem de vulnerabilidades, praticas fracas e movimento lateral. Botnets agentic, por outro lado, se espalham via injecoes de prompt que ignoram firewalls tradicionais e podem se fixar em praticamente qualquer dispositivo, gerando uma populacao muito mais heterogenea de hosts comprometidos do que Mirai.”
Equipe HalluSquatting – Tel Aviv, Technion, Intuit
O HalluSquatting nao inventa um vetor totalmente novo. Ele generaliza uma tecnica que ja existia em ambiente Python, o typosquatting em PyPI, e a projeta para a era dos assistentes agentic. A diferenca crucial e que agora o atacante nao precisa nem convencer o desenvolvedor a digitar o nome errado: o LLM digita por ele, com convicao, apresentando o pacote hallucinado como a resposta certa.
Esse trabalho conversa diretamente com pesquisas anteriores sobre package hallucination, publicadas em 2024, que ja alertavam para a repeticao consistente de nomes falsos entre modelos. O que faltava era transformar a observacao em campanha ofensiva operacional. Os autores do HalluSquatting fecham essa lacuna e mostram que o resultado pode ser uma botnet agentic, capaz de espalhar por qualquer host onde um assistente de IA rode com privilegios.
O ponto realmente inquietante e o carater silencioso do ataque. Nao ha payload malicioso trafegando em e-mail, nao ha macro suspeita em documento, nao ha binario baixado sem contexto. Ha um assistente que o proprio usuario invocou, com autoridade cognitiva percebida como alta, executando um repositorio que ele mesmo sugeriu. Ferramentas classicas de EDR e proxy quase sempre passam batido nesse fluxo, porque a origem da execucao e o proprio processo autorizado do IDE.
Para o Brasil e America Latina, onde a adocao de agentic coding cresce em ritmo acelerado em times de fintech e SaaS, o alerta precisa ser lido como emergente. E provavel que veremos incidentes reais nos proximos meses envolvendo comprometimento de estacoes de desenvolvedores por essa via, com efeito cascata em segredos de nuvem e pipelines internos.
Fonte: SecurityWeek
Nova cupula da NSA abandona a marca CNO adotada em 2016 e traz de volta…
Pesquisador da FoxIO divulga XRING, falha na biblioteca XQUIC da Alibaba que permite derrubar servidores…
Novo gerador de imagens do Google entra em GA na Interactions API com 4K, consistência…
Nova técnica explora "assistant prefill" e burla guardrails de GPT-5.6, Claude Opus 4.8, Gemini 2.5…
Nobel de 2024 deixa o Google DeepMind depois de quase nove anos; Anthropic soma aquisição…
Sistema orquestra Crow, Falcon e Finch para propor mecanismo terapêutico inédito em degeneração macular seca…