Em um desenvolvimento que pode redefinir a segurança da IA, uma equipe de pesquisadores demonstrou um ataque de injeção de prompt baseado em pull que chamam de HalluSquatting. A técnica aproveita uma fraqueza fundamental nos grandes modelos de linguagem (GML): a incapacidade de distinguir confiavelmente entre instruções legítimas e maliciosas incorporadas em conteúdo de terceiros. Enquanto ataques de injeção de prompt anteriores confiavam em táticas de "empurrar" - enviando prompts maliciosos personalizados para usuários individuais - HalluSquatting inverte o script, permitindo que adversários atinjam milhares de dispositivos com um único esforço.

A injeção de prompt já subiu ao topo das listas de ameaças relacionadas à IA. Os GML processam e-mails, código-fonte, convites de calendário e outras entradas externas sem uma fronteira de confiança incorporada. Desenvolvedores responderam com barreiras e filtros, mas essas medidas apenas amenizam a ameaça em vez de fechá-la. A maioria dos ataques documentados foi baseada em "empurrar", o que significa que cada vítima potencial deve ser targetizada separadamente. A escala limitada dessas campanhas as manteve de causar interrupções generalizadas.

Como o HalluSquatting Funciona

O novo método explora um fenômeno conhecido como alucinação, onde um GML inventa identificadores plausíveis para recursos que nunca viu. Pesquisadores primeiro preveem quais identificadores um assistente de codificação de IA é mais provável de alucinar quando solicitado a buscar código ou bibliotecas. Eles então registram esses identificadores em repositórios públicos e os semeiam com payloads maliciosos - frequentemente shells reversos ou outros códigos que podem dar a um atacante controle remoto.

Quando um desenvolvedor executa um comando de rotina por meio de um assistente de IA - digamos, puxando um trecho de um registro de pacotes - o assistente pode inadvertidamente solicitar o recurso fabricado. Porque o pedido parece legítimo, o assistente executa o código malicioso sem solicitar a confirmação do usuário. O resultado é uma cadeia de infecção automática que pode se propagar por qualquer sistema que use o assistente comprometido.

HalluSquatting visa nove das ferramentas de codificação de IA mais amplamente usadas: Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw e NanoClaw. Esses agentes acessam regularmente linhas de comando de alto privilégio e buscam código externo, tornando-os condutos ideais para o ataque. Uma vez que uma instância comprometida executa a carga maliciosa, ela pode instalar um shell reverso, alistar o host em uma botnet e começar a participar de ataques de negação de serviço coordenados ou outras atividades ilícitas.

Porque o ataque não depende de entrega individualizada, ele escala dramaticamente. Especialistas em segurança alertam que a capacidade de montar uma botnet maciça a partir de fluxos de trabalho de desenvolvimento comuns pode borrifar a linha entre malware tradicional e ameaças impulsionadas por IA. Os pesquisadores por trás do estudo enfatizam que HalluSquatting representa o primeiro ataque de injeção de prompt baseado em pull capaz de exploração em massa, um salto à frente para adversários que buscam armas de GML em escala de Internet.

A resposta da indústria foi rápida. Fornecedores das ferramentas afetadas começaram a auditar seus mecanismos de resolução de dependência e a apertar a validação de identificadores externos. Alguns estão explorando a assinatura criptográfica de ativos de repositório para garantir a autenticidade antes da execução. Enquanto isso, a comunidade mais ampla de IA está debatendo se mudanças mais fundamentais - como incorporar modelos de confiança diretamente nas arquiteturas de GML - são necessárias para prevenir ataques semelhantes no futuro.

Por enquanto, as organizações são aconselhadas a monitorar o uso de assistentes de codificação de IA, impor políticas rigorosas de revisão de código e restringir a busca automática de recursos externos. À medida que a IA continua a se entrelaçar no desenvolvimento de software diário, a descoberta de HalluSquatting destaca a urgência de proteger a cadeia de suprimentos por dentro.

Dieser Artikel wurde mit Unterstützung von KI verfasst.
News Factory APP - agentische News für besseres SEO & AEO.