Pesquisadores da Universidade de Tel Aviv, do Instituto de Tecnologia de Israel e da Intuit revelaram uma nova técnica de ataque chamada "HalluSquatting" no artigo "Cuidado com as redes de zumbis de agentes: realização de ataques escaláveis de Promptware não direcionado através de HalluSquatting adversarial geral e transferível", que usa fenômenos de ilusão da IA para enganar agentes de IA a baixarem códigos maliciosos.
Mecanismo de ataque HalluSquatting: princípios técnicos de previsão de recursos ilusórios de IA e registro antecipado
Segundo os pesquisadores, os passos do ataque HalluSquatting são: o atacante prevê links falsos que a IA pode gerar para repositórios de software e recursos online, registra esses nomes com antecedência e insere comandos maliciosos; quando o agente de IA tenta recuperar esses recursos ilusórios, interpreta o conteúdo controlado pelo atacante como legítimo e executa.
Esse mecanismo é semelhante ao "Typosquatting" tradicional, que explora erros de digitação humanos — HalluSquatting mira nos erros de ilusão da IA. Com a expansão das funções dos assistentes de IA, que vão de responder perguntas a acessar arquivos, pesquisar na internet, escrever códigos e executar comandos, essa ameaça tem um alcance significativamente maior.
Dados de teste: 85% de repositórios de código e 100% de instalação de habilidades
De acordo com os testes dos pesquisadores, a taxa de ilusão do HalluSquatting é a seguinte:
Cenário de clonagem de repositórios de código: taxa de ilusão de 85%
Cenário de instalação de habilidades: taxa de ilusão de 100%
A equipe de pesquisa testou os seguintes quatro principais assistentes de codificação e agentes de IA:
Cursor: afetado
GitHub Copilot: afetado
Gemini CLI: afetado
OpenClaw: afetado
Perguntas frequentes
O que é o ataque HalluSquatting e como ele difere dos ataques tradicionais na internet?
Segundo os pesquisadores, HalluSquatting é a previsão de links falsos de recursos que a IA pode gerar, registrando-os antecipadamente e inserindo comandos maliciosos; diferentemente do "Typosquatting", que explora erros de digitação humanos, HalluSquatting mira nos erros de ilusão da IA. O artigo foi publicado por pesquisadores da Universidade de Tel Aviv, do Instituto de Tecnologia de Israel e da Intuit.
Quais ferramentas de IA são afetadas pelo HalluSquatting?
De acordo com os testes, assistentes de codificação como Cursor, GitHub Copilot, Gemini CLI e OpenClaw estão todos afetados; a taxa de ilusão no cenário de instalação de habilidades chega a 100%, e no de clonagem de repositórios de código atinge 85%. A gravidade do impacto e as medidas de mitigação dependem dos anúncios oficiais de segurança dos desenvolvedores de cada ferramenta.
Como o HalluSquatting pode levar à formação de uma rede de zumbis de IA?
Segundo os pesquisadores, se um agente de IA ao executar tarefas recuperar recursos maliciosos controlados pelo atacante e os interpretar como legítimos, o atacante pode executar código remotamente através desses agentes, formando uma rede de zumbis composta por agentes de IA comprometidos; essa rede pode ser usada para ataques de negação de serviço, mineração de criptomoedas, disseminação de malware e ataques de ransomware. Os detalhes específicos dos cenários de ataque estão no artigo de pesquisa.