
Los asistentes de codificación de IA tienen la costumbre de inventar cosas. Cuando solicita recuperar una herramienta popular, es posible que le devuelva el nombre real de un proyecto que no existe.
Un nuevo estudio que los autores llaman «HalluSquatting» convierte ese hábito en un ataque. Inventa un nombre falso que definitivamente inventó la IA, regístralo primero y espera a que el asistente consiga la trampa en tu nombre.
Cualquiera que permita que un asistente de IA adquiera recursos externos y ejecute comandos con poca revisión humana está en riesgo. En las pruebas, esa ruta provocó que el asistente ejecutara código proporcionado por el atacante en la máquina.
Los investigadores plantean esto como una forma de montar botnets, porque si se repite esto con un recurso suficientemente popular, un nombre colocado puede llegar a muchas máquinas.
estructura
Este ataque encadena dos peculiaridades de la IA. La primera es una ilusión. La IA inventa algo y lo hace parecer real. El segundo es la inyección inmediata. Instrucciones con trampas explosivas que secuestran la IA y hacen que obedezca al atacante en lugar del usuario.
La inyección aquí es indirecta y depende del contenido obtenido por el asistente en lugar de lo que escribe el usuario.
Selecciona tu objetivo. Los atacantes encuentran repositorios o complementos de moda, por lo que muchos le piden a la IA que los recupere. Las tendencias son importantes porque los datos de entrenamiento de IA no contienen recursos completamente nuevos. Ahí es exactamente cuando la modelo comienza a adivinar el nombre. Aprende de tus errores. El atacante le pide a la IA que recupere ese recurso varias veces, registrando el seudónimo que crea con mayor frecuencia. Reclama un seudónimo. El atacante registra el nombre en GitHub o en la tienda de complementos y oculta instrucciones hostiles en su interior. Aférrate. Un usuario real le pide al asistente que recupere recursos populares. El asistente inventa el mismo seudónimo y en su lugar captura la versión del atacante. Las instrucciones ocultas están integradas en lo que el asistente cree que se le ha ordenado hacer, y el asistente secuestrado utiliza sus propias herramientas de ejecución de comandos para ejecutarlas.
Una trampa no es un código que se ejecuta por sí solo. Esto funciona porque estos asistentes mantienen el terminal en sus herramientas integradas, y una vez que las instrucciones establecidas se hacen cargo, la «instalación del bot» es simplemente algo que pueden hacer.
Lo que lo hace práctico es que el nombre falso no es aleatorio. En los experimentos de los investigadores, los errores fueron consistentes. En diferentes representaciones y diferentes modelos de empresa, el asistente buscó el mismo nombre incorrecto en hasta el 85 % de las solicitudes de repositorio y en el 100 % de las instalaciones de habilidades. Estas son las tasas máximas informadas por los autores. Este documento proporciona un desglose detallado.

Lo hicieron contra herramientas como Cursor, Windsurf, GitHub Copilot, Cline, Gemini CLI de Google y la familia de asistentes OpenClaw, obligando a cada uno a ejecutar el código del atacante. La carga útil de prueba era un marcador de posición inofensivo y no malware real. Los vivos seguirán el mismo camino.
El estudio fue realizado por Aya Spira y colegas del grupo de Ben Nassi en la Universidad de Tel Aviv, Stav Cohen en el Technion y Ron Bitton en Intuit. El grupo de Nassi ya ha hecho esto antes, creando un gusano de correo electrónico con IA autopropagante e invitaciones de calendario que secuestraron Gemini de Google.
El equipo dijo que notificó a los proveedores, fabricantes de modelos y operadores del mercado afectados antes de salir a bolsa, y ocultó los pasos exactos necesarios para copiar el ataque.
¿Por qué se trata de un nuevo tipo de botnet?
Construir una botnet tradicional requiere mucha mano de obra. Se basan en contraseñas débiles, malware que propaga gusanos de una máquina a otra y, por lo general, atacan un tipo de dispositivo, de manera muy parecida a las cámaras y enrutadores Mirai.
Esto no necesita nada de eso. No hay contraseñas ni gusanos, y la carga útil llega como texto leído por una IA en lugar de abuso de la red, por lo que no es algo que los firewalls puedan monitorear. Las máquinas que aterrizan no forman una única flota y pueden ejecutar cualquier sistema operativo.
Aquí la IA es una furgoneta de reparto, no una carga. Las instrucciones colocadas lo engañan para que instale un bot normal y, una vez que se ejecuta ese bot, la máquina pertenece a la botnet como cualquier otra botnet. Lo nuevo es la combinación de formas de llegar. Eso significa un nombre predeciblemente inventado por una IA, un mercado donde cualquiera puede registrarlo y un agente con el poder de adquirirlo y ejecutarlo.
Aunque existen combinaciones, las piezas no son nuevas. Los atacantes primero aprendieron una técnica llamada «slopsquatting», en la que registraban nombres de paquetes de software falsos ideados por IA.
En enero de 2026, Charlie Eriksen de Aikido Security descubrió uno de esos paquetes npm engañosos, reaccionar-codeshift. En este paquete, las instrucciones generadas por IA ya se han distribuido en 237 proyectos de código y los agentes todavía intentan instalarlas a diario. Él mismo lo registró antes que el atacante, por lo que no se produjo ningún daño.
Luego, la idea pasó del embalaje a las direcciones web. La Unidad 42 de Palo Alto Networks describió recientemente la «ocupación fantasma» en la que aproximadamente 250.000 dominios fantasma quedan sin registrar y disponibles gratuitamente para su adquisición (consulte el artículo de THN aquí).
HalluSquatting es una versión que secuestra al agente que realiza la búsqueda hasta el punto en que ejecuta el código. Y un mercado destinado a detectar cargas maliciosas no es un gran respaldo. En junio, Trail of Bits pasó por los escáneres de varias tiendas en menos de una hora, evitando una «habilidad» maliciosa.
que hacer
Todo se hace con una condición. Se trata de que el agente obtenga un recurso externo y lo ejecute sin que nadie lo controle. Cerrarlo detendrá el ataque. La solución más eficaz es también la más sencilla: hacer que el asistente haga la búsqueda antes de ir a buscar.
La búsqueda real permite a los agentes tomar decisiones basadas en lo que realmente existe, lo que reduce en gran medida las conjeturas. Este es el trabajo de las personas que crean estas herramientas, quienes también pueden capacitar al planificador (la parte que asigna las solicitudes a los pasos) para buscar recursos primero y tratar palabras como clonar, instalar y recuperar como indicadores.
Los usuarios y los equipos de seguridad tienen influencia a corto plazo. De forma predeterminada, estos agentes hacen preguntas antes de ejecutar comandos. Lo que está en riesgo son los modos de ejecución automática que lo desactivan (el indicador de permiso de omisión de Claude Code, el modo yolo de Gemini CLI). Entonces, la primera regla es no dejar que el agente ejecute sin supervisión nada de lo que obtenga.
Algunas herramientas ahora agregan una capa de seguridad que inspecciona lo que el agente está a punto de leer o ejecutar antes de hacer algo, como el modo automático de Claude Code o las comprobaciones Conseca de Gemini CLI, pero esto reduce el riesgo en lugar de eliminarlo. No hay un solo interruptor para cerrarlo. Por lo tanto, antes de que el agente ingiera el nombre de un repositorio o paquete, asegúrese de que el nombre del repositorio o paquete se resuelva en la fuente real esperada y trate el nombre proporcionado por la IA como una suposición en lugar de un hecho.
La plataforma tiene su propia palanca. Pueden prohibir a las personas reutilizar nombres de repositorios conocidos en cuentas nuevas y preregistrar nombres falsos que la IA probablemente invente (las mismas defensas que ya se usan contra la typosquatting) para que esos nombres apunten a proyectos reales.
Los investigadores llaman a su resultado un límite inferior: «El ataque siempre mejora, nunca empeora». No hay ningún CVE único para parchear aquí. Enmarcan esto no como un error en algún producto, sino como una debilidad en la forma en que un agente de IA confía en un nombre que en realidad nunca se le da.
Source link
