Investigadores de la Universidad de Tel Aviv, el Instituto Tecnológico de Israel y Intuit han revelado en el artículo «Precaución ante las redes zombie de agentes: implementación de ataques escalables y no dirigidos mediante HalluSquatting, una contrainteligencia general y transferible» una nueva técnica de ataque llamada «Invasión de Ilusiones Contrainteligentes» (HalluSquatting), que utiliza fenómenos de ilusión en IA para engañar a los agentes de IA y que descarguen código malicioso.
Mecanismo de ataque de HalluSquatting: principios técnicos de predicción y registro anticipado de recursos ilusorios en IA
Según los investigadores, los pasos del ataque HalluSquatting consisten en que el atacante predice enlaces falsos que la IA podría generar hacia repositorios de software y recursos en línea, los registra previamente bajo esos nombres y los inserta con instrucciones maliciosas; cuando el agente de IA intenta recuperar estos recursos ilusorios, interpreta el contenido controlado por el atacante como legítimo y lo ejecuta.
Este mecanismo es similar al «Typosquatting» en ataques tradicionales en red, que aprovecha errores tipográficos humanos, pero HalluSquatting apunta a errores de ilusión en modelos de IA. A medida que las funciones de los asistentes de IA se expanden desde responder preguntas hasta acceder a archivos, buscar en la web, escribir código y ejecutar comandos, la magnitud de esta amenaza se amplía notablemente.
Datos de prueba: 85% en repositorios de código y 100% en instalación de habilidades
Según los resultados de las pruebas, la tasa de ilusiones en ataques HalluSquatting es la siguiente:
Escenario de clonación de repositorios de código: tasa de ilusiones del 85%
Escenario de instalación de habilidades: tasa de ilusiones del 100%
El equipo de investigación probó los siguientes cuatro principales asistentes y agentes de codificación en IA:
Cursor: afectado
GitHub Copilot: afectado
Gemini CLI: afectado
OpenClaw: afectado
Preguntas frecuentes
¿Qué es el ataque HalluSquatting y en qué se diferencia de los ataques tradicionales en red?
Según los investigadores, HalluSquatting consiste en predecir enlaces falsos que un modelo de IA podría generar hacia recursos, registrarlos previamente bajo esos nombres y colocar instrucciones maliciosas; a diferencia del Typosquatting, que aprovecha errores tipográficos humanos, HalluSquatting se dirige a errores de ilusión en los modelos de IA. El artículo fue publicado por investigadores de la Universidad de Tel Aviv, el Instituto Tecnológico de Israel y Intuit.
¿Qué herramientas de IA son afectadas por HalluSquatting?
De acuerdo con las pruebas, asistentes de codificación en IA como Cursor, GitHub Copilot, Gemini CLI y OpenClaw están afectados; en el escenario de instalación de habilidades, la tasa de ilusiones alcanza el 100%, y en la clonación de repositorios de código, el 85%. La gravedad del impacto y las medidas de mitigación dependen de los anuncios oficiales de seguridad de los desarrolladores de cada herramienta.
¿Cómo puede HalluSquatting conducir a la formación de redes zombie de IA?
Los investigadores explican que si un agente de IA, al ejecutar tareas, recupera recursos maliciosos controlados por el atacante y los interpreta como contenido legítimo, el atacante puede ejecutar código de forma remota a través de estos agentes, formando una red zombie compuesta por agentes de IA comprometidos; estas redes pueden usarse para ataques de denegación de servicio, minería de criptomonedas, propagación de malware y ataques de ransomware. Los escenarios específicos se detallan en el artículo de investigación.