Ataque HalluSquatting engaña a agentes de IA para ejecutar código malicioso a través de repositorios alucinados; tasa de éxito del 85%
Investigadores de la Universidad de Tel Aviv, Technion e Intuit publicaron un documento de seguridad sobre HalluSquatting—un exploit novel que aprovecha alucinaciones de modelos de IA para engañar a IA agentic para ejecutar código malicioso. El ataque funciona creando repositorios GitHub falsos con nombres que el modelo alucinará como reales (patrones owner/repo, errores tipográficos de proyectos en tendencia), luego instruyendo al agente a buscar y ejecutar código desde ese repositorio. El modelo, ignorante de que el repositorio es nuevo y no está en sus datos de entrenamiento, fabrica una URL "correcta" plausible y extrae el código malicioso del atacante.
Las pruebas mostraron que la tasa de alucinación para repositorios GitHub recién publicados (2025) alcanzó el 85% en todos los modelos principales, incluido Claude Opus 4.5, con una tasa cercana al 100% contra herramientas agentic de tendencia. En pruebas a nivel de aplicación en Cursor, Windsurf y OpenClaw, las tasas de éxito de alucinación variaron entre 20-35% (Cursor, Gemini CLI, Copilot) y 80-100% (variantes OpenClaw). El exploit es universalmente transferible—no sintonizado para ninguna arquitectura de bot específica—y un atacante podría armar un único repositorio envenenado para comprometer decenas de miles de agentes simultáneamente.
Una vez que el código malicioso se ejecuta en la máquina de un usuario, los atacantes obtienen acceso total: pueden crear reverse shells para ejecución remota de comandos, robar credenciales y datos, instalar software, ejecutar mineros de criptomonedas y aprovechar el agente comprometido (y sus claves de API adjuntas, credenciales en la nube) para ataques adicionales. Los investigadores probaron en herramientas comunes como Cursor, Windsurf y OpenClaw. La mitigación es sencilla pero requiere disciplina del usuario: instruir a los bots para que ejecuten búsquedas web antes de instalar software, restringir niveles de acceso de agentes (claves de API, cuentas de servicio) y evitar otorgar permisos amplios de máquina por defecto.
Para arquitectos que implementan sistemas agentic en producción, la implicación es clara: un agente de IA con permisos de llamadas de herramientas y acceso a sistemas de archivos o API representa un riesgo de cadena de suministro equivalente a un desarrollador con permisos de solicitud de extracción. El exploit no requiere ajuste fino de modelo o jailbreaking; explota alucinación, una propiedad de todos los LLM actuales. Los equipos deben tratar la implementación de agentes como seguridad de infraestructura, no solo selección de modelos.
Fuentes
- Primary source
- tomshardware.com
“agents can hallucinate potentially malicious code repositories up to 85% of the time”
- tomshardware.com
“success rates for hacking ranged from 20%-35% for Cursor, Gemini CLI, and Copilot, and increased massively to close to 80-100% on OpenClaw”
- tomshardware.com
“Every single model is widely affected, up to and including Anthropic's mighty Claude Opus 4.5”