Pesquisadores descobriram um novo ataque de injeção de prompt chamado HalluSquatting que afeta nove ferramentas populares de codificação com IA, incluindo Cursor, GitHub Copilot e Gemini CLI. O ataque explora a incapacidade dos grandes modelos de linguagem de distinguir entre instruções legítimas e maliciosas, combinada com sua tendência de alucinar identificadores de repositórios de código. Essa vulnerabilidade permite que adversários montem botnets massivos e realizem ataques DDoS em larga escala registrando identificadores alucinados previstos e os semeando com instruções maliciosas. A injeção de prompt emergiu como a principal ameaça na segurança de IA, com os LLMs inerentemente incapazes de impor limites entre instruções confiáveis do usuário e conteúdo de terceiros não confiável.
HalluSquatting Explora a Alucinação de Identificadores de Recursos pelos LLMs
Abreviação de "adversarial hallucination squatting", o HalluSquatting funciona contra agentes e assistentes de codificação que acessam linhas de comando com altos privilégios para executar código de recursos de terceiros. O método de ataque prevê os identificadores que os LLMs têm maior probabilidade de alucinar, depois os registra e os semeia com instruções para instalar shells reversos ou outros softwares maliciosos. Assistentes e agentes de codificação com IA rotineiramente puxam código e outros recursos de repositórios e registros no curso normal da realização de atividades diárias. Sem nenhuma maneira de impor o limite entre fontes confiáveis e não confiáveis, os desenvolvedores de mecanismos de IA são deixados para erguer barreiras elaboradas projetadas para mitigar danos, em vez de resolver a causa raiz.
Nove Ferramentas de Codificação com IA Confirmadas como Suscetíveis ao Ataque
O ataque funciona contra assistentes e agentes de codificação com IA, incluindo Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw e NanoClaw. Todas as nove ferramentas são suscetíveis ao método de ataque HalluSquatting. Essas ferramentas comumente acessam linhas de comando com altos privilégios para executar código de repositórios e registros de terceiros.
Ataque Difere de Injeções de Prompt Anteriores Baseadas em Push
Injeções de prompt anteriores se enquadravam em uma classe conhecida como ataques push, nos quais cada vítima em potencial é alvejada individualmente. Por exemplo, adversários injetam instruções maliciosas em e-mails individuais ou convites de calendário. Como a injeção deve ser enviada para cada alvo específico, a escala dos ataques baseados em push é limitada. Ataques baseados em pull, nos quais um LLM busca ativamente por prompts adversariais plantados em sites, permaneceram limitados, sem nenhuma maneira de atrair um grande número de LLMs para um site malicioso. O HalluSquatting representa um ataque baseado em pull que pode infectar indiscriminadamente um número massivo de dispositivos sem atingir cada um individualmente.
FAQ
O que é HalluSquatting e como ele funciona?
HalluSquatting é um novo ataque de injeção de prompt que explora a tendência dos grandes modelos de linguagem de alucinar identificadores de recursos de repositórios de código. Os atacantes preveem quais identificadores os LLMs têm maior probabilidade de alucinar, registram esses identificadores e os semeiam com instruções maliciosas, como instalações de shells reversos.
Quais ferramentas de codificação com IA são vulneráveis a ataques HalluSquatting?
Nove ferramentas de codificação com IA são suscetíveis ao HalluSquatting: Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw e NanoClaw. Essas ferramentas rotineiramente puxam código e recursos de repositórios e registros de terceiros.
Como o HalluSquatting difere de ataques anteriores de injeção de prompt?
Injeções de prompt anteriores eram ataques baseados em push que exigiam atingir cada vítima individualmente por meio de e-mails ou convites de calendário. O HalluSquatting é um ataque baseado em pull que pode infectar indiscriminadamente um número massivo de dispositivos sem segmentação individual, já que as ferramentas de IA afetadas buscam ativamente os prompts adversariais plantados em repositórios.