Pesquisadores da Universidade de Tel Aviv demonstraram um ataque chamado HalluSquatting que transforma alucinações de assistentes de IA em porta de entrada para malware. O mecanismo é perturbador na sua simplicidade: descobrir que nome falso a IA inventa ao procurar uma ferramenta, registrar esse nome primeiro e esperar o assistente puxar o código malicioso em nome do utilizador. Em testes, a técnica funcionou em até 85% das tentativas contra ferramentas como Cursor, GitHub Copilot, Cline e Gemini CLI.
O que é HalluSquatting
O HalluSquatting explora duas características dos modelos de IA generativa: a tendência de inventar nomes plausíveis para coisas que não existem (alucinação) e a capacidade de executar instruções embutidas no conteúdo que busca (injeção de prompt indireta).
O ataque funciona em quatro passos. O atacante escolhe um repositório ou plugin em alta, aquele que os desenvolvedores pedem para a IA instalar com frequência. Depois, pergunta ao assistente repetidas vezes por esse recurso e anota o nome falso que o modelo inventa com mais consistência. Em seguida, registra esse nome no GitHub ou numa loja de plugins e esconde instruções maliciosas no seu interior. Quando um utilizador real pede ao assistente para buscar a ferramenta popular, a IA repete o mesmo nome errado e baixa a versão do atacante no lugar da legítima.
A pesquisa foi conduzida por Aya Spira e colegas do grupo de Ben Nassi na Universidade de Tel Aviv, com Stav Cohen do Technion e Ron Bitton da Intuit. O grupo já havia construído um worm de email auto-propagante via IA e um convite de calendário que sequestrava o Gemini do Google. A nova técnica foi divulgada aos fabricantes afetados antes da publicação, e os detalhes completos de reprodução foram retidos.
Ferramentas testadas e afetadas
Os testes alcançaram execução de código do atacante em seis assistentes de código populares. Os payloads eram marcadores inofensivos, não malware real, mas o caminho de execução é idêntico.
| Ferramenta | Tipo | Taxa de sucesso |
|---|---|---|
| Cursor | IDE com IA | Até 85% |
| GitHub Copilot | Assistente de código | Até 85% |
| Cline | Agente autónomo | Até 85% |
| Windsurf | IDE com IA | Até 85% |
| Gemini CLI | CLI do Google | Testado com sucesso |
| OpenClaw | Família de agentes | Testado com sucesso |
O que torna o ataque eficaz é a consistência do erro. Em diferentes formulações e modelos de empresas distintas, o assistente buscou o mesmo nome falso em até 85% das requisições de repositório e 100% das instalações de skills. Para desenvolvedores brasileiros que usam Cursor ou Copilot no dia a dia, o risco é concreto — esses assistentes têm acesso ao terminal da máquina.
Antecessores do ataque
O HalluSquatting é a evolução de duas técnicas anteriores. Em janeiro de 2026, Charlie Eriksen da Aikido Security descobriu o slopsquatting: pacotes npm com nomes inventados por IA já se espalhavam para 237 projetos de código. O pacote react-codeshift, que nunca existiu oficialmente, era instalado diariamente por agentes de IA que acreditavam ser real.
Depois veio o phantom squatting, documentado pelo Unit 42 da Palo Alto Networks: cerca de 250 mil domínios “alucinados” por modelos de IA permaneciam não registrados e disponíveis para qualquer pessoa registrar. O HalluSquatting dá o passo final — não para no nome registrado, mas chega à execução de código ao sequestrar o agente responsável pelo download.
| Técnica | Vetor | Impacto |
|---|---|---|
| Slopsquatting | Pacotes npm inventados por IA | 237 projetos infectados |
| Phantom Squatting | Domínios alucinados | 250 mil domínios livres |
| HalluSquatting | Assistentes de IA | Execução de código via agente |
Como isso cria uma botnet
Botnets tradicionais exigem trabalho para serem construídas. Dependem de senhas fracas, malware que se propaga de máquina em máquina, e geralmente controlam um tipo uniforme de dispositivo, como o Mirai fazia com câmeras e roteadores.
O HalluSquatting precisa de nenhuma dessas coisas. Sem senhas, sem worms, e porque o payload chega como texto que a IA lê, não como um exploit de rede, não é algo que um firewall detecte. As máquinas infectadas podem rodar qualquer sistema operacional. A IA é o vetor de entrega.
Uma vez que as instruções plantadas sequestram o assistente, ele usa seu próprio acesso ao terminal para instalar um bot comum. A partir desse ponto, a máquina pertence à botnet como qualquer outra. A diferença é o caminho: um nome que a IA inventa com previsibilidade, um marketplace onde qualquer pessoa pode registrar esse nome, e um agente com permissão para buscar e executar.
O que desenvolvedores podem fazer
Não existe patch único para esse problema. A responsabilidade está dividida entre fabricantes de IA, operadores de marketplaces e os próprios utilizadores. Algumas medidas práticas reduzem o risco:
- Verifique o nome exato antes de pedir à IA para instalar qualquer pacote. Confirme no site oficial do projeto.
- Revise o que o assistente executa. Habilitar o modo de confirmação em Cursor e Cline obriga o utilizador a aprovar cada comando.
- Evite pedir “instale X” sem especificar a origem. Use URLs oficiais em vez de depender da memória do modelo.
- Monitore processos inesperados no sistema. Um bot recém-instalado gera atividade de rede anômala.
- Restringia permissões do agente. Nunca dê acesso de root ao assistente de IA em ambientes de produção.
Para empresas que adotaram IA de código em pipelines de CI/CD, o risco é ainda maior. Um assistente sequestrado dentro de um runner automatizado tem acesso a credenciais, repositórios privados e infraestrutura de produção. O caso do Copilot da Microsoft, que vazou dados corporativos com um único clique, mostra que a superfície de ataque dessas ferramentas já é maior do que a maioria das equipes admite.
O cenário mais amplo
O HalluSquatting não é um ataque isolado. Ele se soma a uma onda de vulnerabilidades que exploram a cadeia de confiança entre humanos e agentes de IA. No mesmo dia em que a pesquisa foi publicada, um botnet escrito em Rust sequestrava roteadores para DDoS, e relatórios mostravam que 16% dos vazamentos de dados já envolviam ferramentas de IA.
A mensagem para desenvolvedores e equipes de segurança é direta: confiança cega em assistentes de IA é um risco mensurável. A IA não verifica o que instala. Não distingue um repositório real de uma armadilha registrada com o nome que ela mesma inventou. Quem delega ao assistente o poder de executar comandos sem supervisão está abrindo uma porta que nenhum firewall consegue fechar.
Referências
- The Hacker News — New HalluSquatting Attack Could Trick AI Coding Assistants Into Installing Botnet Malware
- BleepingComputer — 3 Ways AI Powers Service Desk Attacks and How to Prevent Them
- BleepingComputer — Fake Paysafe, Skrill SDKs on NPM and PyPi Steal Credentials
- The Hacker News — GitHub Verified Commits Can Be Rewritten Into New Hashes