Pesquisadores da Universidade de Tel Aviv demonstraram um ataque chamado HalluSquatting que transforma alucinações de assistentes de IA em porta de entrada para malware. O mecanismo é perturbador na sua simplicidade: descobrir que nome falso a IA inventa ao procurar uma ferramenta, registrar esse nome primeiro e esperar o assistente puxar o código malicioso em nome do utilizador. Em testes, a técnica funcionou em até 85% das tentativas contra ferramentas como Cursor, GitHub Copilot, Cline e Gemini CLI.

O que é HalluSquatting

O HalluSquatting explora duas características dos modelos de IA generativa: a tendência de inventar nomes plausíveis para coisas que não existem (alucinação) e a capacidade de executar instruções embutidas no conteúdo que busca (injeção de prompt indireta).

O ataque funciona em quatro passos. O atacante escolhe um repositório ou plugin em alta, aquele que os desenvolvedores pedem para a IA instalar com frequência. Depois, pergunta ao assistente repetidas vezes por esse recurso e anota o nome falso que o modelo inventa com mais consistência. Em seguida, registra esse nome no GitHub ou numa loja de plugins e esconde instruções maliciosas no seu interior. Quando um utilizador real pede ao assistente para buscar a ferramenta popular, a IA repete o mesmo nome errado e baixa a versão do atacante no lugar da legítima.

A pesquisa foi conduzida por Aya Spira e colegas do grupo de Ben Nassi na Universidade de Tel Aviv, com Stav Cohen do Technion e Ron Bitton da Intuit. O grupo já havia construído um worm de email auto-propagante via IA e um convite de calendário que sequestrava o Gemini do Google. A nova técnica foi divulgada aos fabricantes afetados antes da publicação, e os detalhes completos de reprodução foram retidos.

Ferramentas testadas e afetadas

Os testes alcançaram execução de código do atacante em seis assistentes de código populares. Os payloads eram marcadores inofensivos, não malware real, mas o caminho de execução é idêntico.

Ferramenta Tipo Taxa de sucesso
Cursor IDE com IA Até 85%
GitHub Copilot Assistente de código Até 85%
Cline Agente autónomo Até 85%
Windsurf IDE com IA Até 85%
Gemini CLI CLI do Google Testado com sucesso
OpenClaw Família de agentes Testado com sucesso

O que torna o ataque eficaz é a consistência do erro. Em diferentes formulações e modelos de empresas distintas, o assistente buscou o mesmo nome falso em até 85% das requisições de repositório e 100% das instalações de skills. Para desenvolvedores brasileiros que usam Cursor ou Copilot no dia a dia, o risco é concreto — esses assistentes têm acesso ao terminal da máquina.

Antecessores do ataque

O HalluSquatting é a evolução de duas técnicas anteriores. Em janeiro de 2026, Charlie Eriksen da Aikido Security descobriu o slopsquatting: pacotes npm com nomes inventados por IA já se espalhavam para 237 projetos de código. O pacote react-codeshift, que nunca existiu oficialmente, era instalado diariamente por agentes de IA que acreditavam ser real.

Depois veio o phantom squatting, documentado pelo Unit 42 da Palo Alto Networks: cerca de 250 mil domínios “alucinados” por modelos de IA permaneciam não registrados e disponíveis para qualquer pessoa registrar. O HalluSquatting dá o passo final — não para no nome registrado, mas chega à execução de código ao sequestrar o agente responsável pelo download.

Técnica Vetor Impacto
Slopsquatting Pacotes npm inventados por IA 237 projetos infectados
Phantom Squatting Domínios alucinados 250 mil domínios livres
HalluSquatting Assistentes de IA Execução de código via agente

Como isso cria uma botnet

Botnets tradicionais exigem trabalho para serem construídas. Dependem de senhas fracas, malware que se propaga de máquina em máquina, e geralmente controlam um tipo uniforme de dispositivo, como o Mirai fazia com câmeras e roteadores.

O HalluSquatting precisa de nenhuma dessas coisas. Sem senhas, sem worms, e porque o payload chega como texto que a IA lê, não como um exploit de rede, não é algo que um firewall detecte. As máquinas infectadas podem rodar qualquer sistema operacional. A IA é o vetor de entrega.

Uma vez que as instruções plantadas sequestram o assistente, ele usa seu próprio acesso ao terminal para instalar um bot comum. A partir desse ponto, a máquina pertence à botnet como qualquer outra. A diferença é o caminho: um nome que a IA inventa com previsibilidade, um marketplace onde qualquer pessoa pode registrar esse nome, e um agente com permissão para buscar e executar.

O que desenvolvedores podem fazer

Não existe patch único para esse problema. A responsabilidade está dividida entre fabricantes de IA, operadores de marketplaces e os próprios utilizadores. Algumas medidas práticas reduzem o risco:

  1. Verifique o nome exato antes de pedir à IA para instalar qualquer pacote. Confirme no site oficial do projeto.
  2. Revise o que o assistente executa. Habilitar o modo de confirmação em Cursor e Cline obriga o utilizador a aprovar cada comando.
  3. Evite pedir “instale X” sem especificar a origem. Use URLs oficiais em vez de depender da memória do modelo.
  4. Monitore processos inesperados no sistema. Um bot recém-instalado gera atividade de rede anômala.
  5. Restringia permissões do agente. Nunca dê acesso de root ao assistente de IA em ambientes de produção.

Para empresas que adotaram IA de código em pipelines de CI/CD, o risco é ainda maior. Um assistente sequestrado dentro de um runner automatizado tem acesso a credenciais, repositórios privados e infraestrutura de produção. O caso do Copilot da Microsoft, que vazou dados corporativos com um único clique, mostra que a superfície de ataque dessas ferramentas já é maior do que a maioria das equipes admite.

O cenário mais amplo

O HalluSquatting não é um ataque isolado. Ele se soma a uma onda de vulnerabilidades que exploram a cadeia de confiança entre humanos e agentes de IA. No mesmo dia em que a pesquisa foi publicada, um botnet escrito em Rust sequestrava roteadores para DDoS, e relatórios mostravam que 16% dos vazamentos de dados já envolviam ferramentas de IA.

A mensagem para desenvolvedores e equipes de segurança é direta: confiança cega em assistentes de IA é um risco mensurável. A IA não verifica o que instala. Não distingue um repositório real de uma armadilha registrada com o nome que ela mesma inventou. Quem delega ao assistente o poder de executar comandos sem supervisão está abrindo uma porta que nenhum firewall consegue fechar.

Referências