Ataque HalluSquatting engana agentes de IA para executar código malicioso via repos alucinados; taxa de sucesso de 85%
Pesquisadores da Universidade de Tel Aviv, Technion e Intuit publicaram um artigo de segurança sobre HalluSquatting—um exploit novel que aproveita alucinações de modelos de IA para enganar IA agentic para executar código malicioso. O ataque funciona criando repositórios GitHub falsos com nomes que o modelo irá alucinar como reais (padrões owner/repo, typos de projetos em alta), então instruindo o agente a buscar e executar código daquele repositório. O modelo, desconhecedor de que o repositório é novo e não está em seus dados de treinamento, fabrica uma URL "correta" plausível e puxa o código malicioso do atacante.
Os testes mostraram que a taxa de alucinação para repositórios GitHub recém-publicados (2025) atingiu 85% em todos os modelos principais, incluindo Claude Opus 4.5, com sucesso próximo a 100% contra ferramentas agentic em alta. Em testes de nível de aplicação em Cursor, Windsurf e OpenClaw, as taxas de sucesso de alucinação variaram 20-35% (Cursor, Gemini CLI, Copilot) para 80-100% (variantes OpenClaw). O exploit é universalmente transferível—não ajustado para nenhuma arquitetura de bot específica—e um atacante poderia armar um único repositório envenenado para comprometer dezenas de milhares de agentes simultaneamente.
Uma vez que código malicioso é executado na máquina de um usuário, os atacantes ganham acesso total: podem criar reverse shells para execução remota de comandos, roubar credenciais e dados, instalar software, executar crypto miners e aproveitar o agente comprometido (e suas chaves de API anexadas, credenciais de nuvem) para ataques adicionais. Os pesquisadores testaram em ferramentas comuns como Cursor, Windsurf e OpenClaw. Mitigação é direta mas requer disciplina do usuário: instruir bots a executar buscas na web antes de instalar software, restringir níveis de acesso do agente (chaves de API, contas de serviço) e evitar conceder permissões amplas de máquina por padrão.
Para arquitetos implantando sistemas agentic em produção, a implicação é clara: um agente de IA com permissões de tool-calling e acesso a sistema de arquivos ou API representa um risco de cadeia de suprimento equivalente a um desenvolvedor com permissões de pull-request. O exploit não requer fine-tuning de modelo ou jailbreaking; ele explora alucinação, uma propriedade de todos os LLMs atuais. Times devem tratar implantação de agente como segurança de infraestrutura, não apenas seleção de modelo.
Fontes
- Primary source
- tomshardware.com
“agents can hallucinate potentially malicious code repositories up to 85% of the time”
- tomshardware.com
“success rates for hacking ranged from 20%-35% for Cursor, Gemini CLI, and Copilot, and increased massively to close to 80-100% on OpenClaw”
- tomshardware.com
“Every single model is widely affected, up to and including Anthropic's mighty Claude Opus 4.5”