Investigadores da Universidade de Telavive, do Instituto de Tecnologia de Israel e da Intuit revelaram, no artigo «Cuidado com as redes de zumbis de agentes: implementação de ataques escaláveis de Promptware não direcionado através de HalluSquatting universal e transferível», uma nova técnica de ataque denominada «Invasão de Ilusões Adversárias» (HalluSquatting), que utiliza fenómenos de ilusão da IA para enganar agentes de IA a descarregar código malicioso.
Mecanismo de ataque HalluSquatting: princípios técnicos de previsão de recursos ilusórios de IA e registo antecipado
Segundo os investigadores, os passos do ataque HalluSquatting consistem em: o atacante prever ligações falsas que a IA possa gerar para repositórios de software e recursos online, registar previamente esses nomes e inserir comandos maliciosos; quando o agente de IA tentar aceder a esses recursos ilusórios, interpretará o conteúdo controlado pelo atacante como legítimo e executá-lo-á.
Este mecanismo assemelha-se ao «Typosquatting» tradicional, onde nomes de domínio incorretos são explorados por erros de digitação humana — enquanto o HalluSquatting visa os erros de ilusão da própria IA. Com a expansão das capacidades dos assistentes de IA, que vão desde responder a perguntas até aceder a ficheiros, pesquisar na internet, escrever código e executar comandos, a abrangência desta ameaça aumenta significativamente.
Dados de teste: 85% de repositórios de código e 100% de instalações de competências
De acordo com os testes realizados pelos investigadores, a taxa de ilusão do HalluSquatting é a seguinte:
Cenário de clonagem de repositórios de código: taxa de ilusão de 85%
Cenário de instalação de competências: taxa de ilusão de 100%
A equipa de investigação testou quatro principais assistentes de codificação de IA e agentes:
Cursor: afetado
GitHub Copilot: afetado
Gemini CLI: afetado
OpenClaw: afetado
Perguntas frequentes
O que é o ataque HalluSquatting e como difere dos ataques tradicionais na internet?
Segundo os investigadores, o HalluSquatting consiste em prever ligações falsas de recursos geradas pela IA, registá-las antecipadamente com comandos maliciosos; ao contrário do «Typosquatting» tradicional, que explora erros de digitação humana, o HalluSquatting foca-se nos erros de ilusão da IA. O artigo foi publicado por investigadores da Universidade de Telavive, do Instituto de Tecnologia de Israel e da Intuit.
Quais ferramentas de IA são afetadas pelo HalluSquatting?
De acordo com os testes, assistentes de codificação de IA como Cursor, GitHub Copilot, Gemini CLI e OpenClaw estão todos afetados; na instalação de competências, a taxa de ilusão atinge 100%, enquanto no cenário de clonagem de repositórios de código chega a 85%. A gravidade do impacto e as medidas de mitigação dependem dos anúncios de segurança oficiais de cada fornecedor.
Como pode o HalluSquatting levar à formação de redes de zumbis de IA?
Segundo os investigadores, se um agente de IA ao executar tarefas aceder a recursos maliciosos controlados pelo atacante e os interpretar como legítimos, o atacante pode controlar remotamente esses agentes para executar código, formando uma rede de zumbis composta por agentes de IA comprometidos; estas redes podem ser usadas para ataques de negação de serviço, mineração de criptomoedas, propagação de malware e ataques de ransomware. Os cenários específicos estão detalhados no artigo de investigação.