En un desarrollo que podría redefinir la seguridad de la IA, un equipo de investigadores ha demostrado un ataque de inyección de solicitudes basado en extracción al que llaman HalluSquatting. La técnica aprovecha una debilidad fundamental en los grandes modelos de lenguaje (GML): la incapacidad para distinguir de manera fiable entre instrucciones legítimas y maliciosas incrustadas en contenido de terceros. Mientras que los ataques de inyección de solicitudes anteriores se basaban en tácticas de "empuje" - enviar solicitudes maliciosas personalizadas a usuarios individuales - HalluSquatting invierte el guion, permitiendo a los adversarios alcanzar miles de dispositivos con un solo esfuerzo.

La inyección de solicitudes ya ha ascendido a la cima de las listas de amenazas relacionadas con la IA. Los GML procesan correos electrónicos, código fuente, invitaciones de calendario y otras entradas externas sin un límite de confianza incorporado. Los desarrolladores han respondido con barandillas y filtros, pero esas medidas solo atenúan el borde en lugar de cerrar la brecha. La mayoría de los ataques documentados han sido basados en "empuje", lo que significa que cada víctima potencial debe ser objetivo por separado. La escala limitada de esas campañas las ha mantenido alejadas de causar una interrupción generalizada.

Cómo funciona HalluSquatting

El nuevo método aprovecha un fenómeno conocido como alucinación, donde un GML inventa identificadores de recursos que parecen plausibles pero que nunca ha visto. Los investigadores primero predicen qué identificadores un asistente de codificación de IA es más probable que alucine cuando se le pide que recupere código o bibliotecas. Luego registran esos identificadores en repositorios públicos y los siembran con cargas maliciosas - a menudo con conchas inversas o otro código que puede dar a un atacante control remoto.

Cuando un desarrollador ejecuta un comando de rutina a través de un asistente de IA - digamos, extrayendo un fragmento de un registro de paquetes - el asistente puede solicitar inadvertidamente el recurso fabricado. Debido a que la solicitud parece legítima, el asistente ejecuta el código malicioso sin solicitar la confirmación del usuario. El resultado es una cadena de infección automática que puede propagarse a través de cualquier sistema que utilice el asistente comprometido.

HalluSquatting apunta a nueve de las herramientas de codificación de IA más utilizadas: Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw y NanoClaw. Estos agentes acceden rutinariamente a líneas de comando de alto privilegio y recuperan código externo, lo que los convierte en conductos ideales para el ataque. Una vez que una instancia comprometida ejecuta la carga maliciosa, puede instalar una concha inversa, enlistar el host en una red de botnets y comenzar a participar en ataques de denegación de servicio coordinados o otras actividades ilícitas.

Debido a que el ataque no depende de la entrega individualizada, se escala de manera dramática. Los expertos en seguridad advierten que la capacidad de ensamblar una red de botnets masiva desde flujos de trabajo de desarrollo ordinarios podría difuminar la línea entre malware tradicional y amenazas impulsadas por la IA. Los investigadores detrás del estudio enfatizan que HalluSquatting representa el primer ataque de inyección de solicitudes basado en extracción capaz de explotación masiva, un salto adelante para los adversarios que buscan aprovechar los GML a escala de Internet.

La respuesta de la industria ha sido rápida. Los proveedores de las herramientas afectadas han comenzado a auditar sus mecanismos de resolución de dependencias y a endurecer la validación de identificadores externos. Algunos están explorando la firma criptográfica de activos de repositorio para garantizar la autenticidad antes de la ejecución. Mientras tanto, la comunidad de IA más amplia está debatiendo si se requieren cambios más fundamentales - como incrustar modelos de confianza directamente en las arquitecturas de GML - para prevenir ataques similares en el futuro.

Por ahora, se aconseja a las organizaciones que monitoren el uso de asistentes de codificación de IA, apliquen estrictas políticas de revisión de código y restrinjan la recuperación automática de recursos externos. A medida que la IA continúa integrándose en el desarrollo de software cotidiano, el descubrimiento de HalluSquatting subraya la urgencia de asegurar la cadena de suministro desde adentro hacia afuera.

Este artículo fue escrito con la asistencia de IA.
News Factory APP - noticias agénticas para impulsar tu SEO y AEO.