Una IA ideó un enlace y los hackers ya esperan a que hagas clic: análisis del ataque HalluSquatting

Una IA ideó un enlace y los hackers ya esperan a que hagas clic: análisis del ataque HalluSquatting

Una "alucinación" común resultó demasiado conveniente para un plan ajeno.

image

Los errores de la inteligencia artificial (IA) suelen parecer invenciones inofensivas, pero las alucinaciones previsibles en los nombres de repositorios permitieron a especialistas mostrar cómo nueve herramientas populares de IA pueden descargar un recurso controlado por un atacante y ejecutar comandos ajenos. El nuevo método recibió el nombre de HalluSquatting y afecta a Cursor, Cursor CLI, Windsurf, GitHub Copilot, Cline, Gemini CLI, OpenClaw, ZeroClaw y NanoClaw.

El ataque comienza con un repositorio nuevo y popular o una habilidad para un agente de IA. El atacante determina cuál dirección incorrecta genera el modelo con más frecuencia, registra de antemano ese recurso y coloca en él instrucciones o código malicioso. Cuando el usuario pide al agente instalar el componente necesario, el modelo puede inventar la dirección, descargar la suplantación y ejecutarla mediante el terminal integrado.

En las pruebas, los modelos se equivocaron al elegir la dirección del repositorio en el 85% de los casos, y en la instalación de nuevas habilidades la cifra llegó al 100%. Las alucinaciones se repitieron en distintos modelos y persistieron a nivel de las aplicaciones, por lo que un recurso registrado podía servir para varias herramientas a la vez.

Los especialistas demostraron la ejecución remota de herramientas y código; sin embargo, el trabajo describe ensayos de laboratorio y no una campaña maliciosa confirmada. En un ataque real, los dispositivos infectados podrían haberse agrupado en una botnet para ataques DDoS o para minería de criptomonedas, pero esos efectos en el trabajo se consideraron un escenario posible.

Los autores informaron con antelación del problema a los desarrolladores de aplicaciones y modelos, así como a los administradores de las plataformas, y ocultaron los detalles que facilitarían la repetición del ataque. Para reducir el riesgo, se recomienda a los usuarios verificar la dirección exacta de cada repositorio y de otros recursos antes de descargarlos y ejecutarlos a través de un agente de IA.