O HalluSquatting representa uma nova fronteira nos ataques cibernéticos envolvendo Inteligência Artificial. Pesquisadores descobriram uma técnica capaz de transformar um dos maiores pontos fracos dos assistentes de programação modernos, as alucinações de IA, em uma arma para distribuir malware e criar redes de máquinas comprometidas.
Ferramentas como assistentes de código baseados em IA foram criadas para acelerar o desenvolvimento, sugerir bibliotecas e automatizar tarefas repetitivas. Porém, quando esses sistemas recebem permissões elevadas para acessar terminais, instalar pacotes ou executar comandos automaticamente, um erro aparentemente inocente pode abrir caminho para uma infecção.
O objetivo deste artigo é explicar como funciona o ataque HalluSquatting, por que ele não depende de uma vulnerabilidade tradicional de rede, como a injeção indireta de comandos explora a confiança dos agentes autônomos e quais medidas desenvolvedores, sysadmins e profissionais de segurança podem adotar para reduzir os riscos.
Diferentemente de ataques clássicos registrados como CVE, o problema está relacionado ao comportamento dos modelos de IA e à confiança excessiva depositada em agentes capazes de tomar decisões em ambientes de desenvolvimento.
O que é o HalluSquatting e como funciona o novo ataque contra assistentes de IA
O HalluSquatting combina dois elementos perigosos: nomes inventados por modelos de IA e a capacidade desses assistentes executarem ações reais no sistema operacional.
O ataque começa explorando um comportamento conhecido dos grandes modelos de linguagem. Quando uma IA é questionada sobre uma biblioteca, pacote ou ferramenta que não conhece completamente, ela pode criar uma resposta plausível, porém inexistente. Esse fenômeno é chamado de alucinação de IA.
Os pesquisadores perceberam que essas invenções não acontecem de maneira totalmente aleatória. Muitos modelos repetem os mesmos nomes falsos quando recebem determinados tipos de perguntas, criando uma oportunidade para criminosos registrarem esses nomes antes que alguém perceba.
A sequência do ataque segue uma lógica simples:
- O atacante identifica um pacote ou ferramenta popular usada por desenvolvedores.
- O modelo de IA apresenta um nome inexistente como se fosse uma dependência legítima.
- O criminoso registra esse nome em plataformas como GitHub, repositórios de código ou marketplaces de extensões.
- Um usuário pede ajuda ao assistente de programação.
- A IA recomenda ou instala o pacote malicioso.
- O código do atacante é executado dentro do ambiente da vítima.
O grande diferencial do HalluSquatting é que o usuário não precisa clicar em um arquivo suspeito ou baixar um programa desconhecido. A própria ferramenta de IA conduz o processo.

O papel das alucinações previsíveis no ataque HalluSquatting
Um dos pontos mais preocupantes da pesquisa é que as alucinações dos modelos de IA podem ser previsíveis.
Segundo os pesquisadores, determinados erros de geração de nomes apareceram repetidamente em testes, chegando a ocorrer em até 85% dos casos em alguns cenários e alcançando taxas ainda maiores dependendo do modelo avaliado.
Isso muda a visão tradicional sobre alucinações. Antes, elas eram tratadas principalmente como um problema de qualidade das respostas. Agora, tornam-se uma superfície de ataque.
Se uma IA sempre sugere uma biblioteca inexistente chamada, por exemplo, “super-auth-helper”, um criminoso pode registrar esse nome e transformar uma simples sugestão errada em um vetor de comprometimento.
Esse mecanismo é semelhante ao conceito de typosquatting, no qual atacantes registram domínios parecidos com sites legítimos para enganar usuários. Porém, no caso do HalluSquatting, o alvo não é um erro de digitação humano, mas uma invenção estatística da própria inteligência artificial.
Injeção indireta de comando permite executar malware pelo terminal
Outro componente fundamental do ataque é a chamada injeção indireta de comandos.
Nesse cenário, o invasor não precisa enviar diretamente uma ordem maliciosa para a IA. Em vez disso, ele coloca informações manipuladas em locais que o assistente consulta, como páginas da internet, repositórios ou descrições de pacotes.
Quando a IA pesquisa essas informações, interpreta o conteúdo como uma fonte confiável e pode seguir instruções escondidas.
O problema aumenta quando o assistente possui permissões para operar o ambiente local. Recursos como execução automática de comandos, instalação de dependências e alterações no sistema permitem que a recomendação falsa se transforme em uma ação real.
Na prática, o criminoso consegue fazer a própria IA executar o código malicioso usando as permissões legítimas concedidas pelo usuário.
Ferramentas afetadas e o novo conceito de botnet criado pelo HalluSquatting
A pesquisa sobre o HalluSquatting analisou diversos assistentes modernos de programação, incluindo ferramentas amplamente utilizadas por desenvolvedores.
Entre as plataformas testadas pelos pesquisadores da Universidade de Tel Aviv estão:
- Cursor
- Windsurf
- GitHub Copilot
- Cline
- Gemini CLI
- OpenClaw
O risco não está apenas na ferramenta individual, mas no modelo de interação entre humanos, IA e sistemas operacionais.
Quando milhares de desenvolvedores usam agentes capazes de executar comandos, instalar dependências e modificar projetos automaticamente, um ataque bem-sucedido pode alcançar uma escala semelhante à de uma botnet tradicional.
HalluSquatting redefine o conceito de botnets modernas
As botnets tradicionais normalmente dependem de técnicas como exploração de vulnerabilidades, engenharia social, senhas fracas ou propagação automática por worms.
O HalluSquatting apresenta uma abordagem diferente: ele explora a confiança depositada nos agentes de IA.
Um atacante pode potencialmente infectar múltiplos ambientes sem precisar atravessar firewalls corporativos, explorar portas abertas ou descobrir credenciais administrativas.
A própria cadeia de desenvolvimento se transforma no canal de distribuição.
Em ambientes corporativos, isso representa um risco significativo porque uma única sugestão falsa de IA pode alcançar estações de trabalho, servidores de integração contínua (CI/CD) e ambientes de produção.
De pacotes npm a domínios fantasmas: o histórico do problema
O conceito não surgiu do nada. Pesquisadores de segurança já estudaram técnicas semelhantes envolvendo ecossistemas de software.
No início de 2026, casos relacionados ao chamado slopsquatting chamaram atenção ao explorar pacotes inexistentes sugeridos por modelos de IA, incluindo situações envolvendo nomes como react-codeshift.
Outra técnica relacionada é o phantom squatting, documentado por empresas de segurança como a Palo Alto Networks, onde atacantes exploram referências inexistentes ou falsas para direcionar usuários a recursos maliciosos.
A diferença agora é que a Inteligência Artificial amplia o alcance do problema ao atuar como intermediária entre o usuário e o código.
Como se proteger de ataques baseados em IA
O crescimento dos agentes autônomos exige uma mudança de comportamento. Assistentes de programação não devem ser tratados como ferramentas totalmente confiáveis, principalmente quando possuem acesso direto ao sistema.
Algumas medidas reduzem significativamente o risco:
Evite modos de execução automática irrestrita
Recursos como modos semelhantes ao YOLO mode ou opções de ignorar permissões devem ser utilizados com extrema cautela. Quanto mais autonomia a IA recebe, maior é o impacto de uma sugestão incorreta.
Mantenha aprovação humana no processo
Antes de instalar pacotes, executar scripts ou alterar configurações, o usuário deve revisar os comandos gerados pela IA.
A automação deve acelerar tarefas, não eliminar completamente a supervisão.
Verifique repositórios e dependências
Pacotes sugeridos por assistentes devem ser conferidos em fontes oficiais, analisando:
- histórico de manutenção;
- número de usuários;
- código-fonte;
- assinaturas digitais;
- reputação do mantenedor.
Ferramentas de IA precisam melhorar validações
Os desenvolvedores desses sistemas também possuem um papel importante. Assistentes deveriam priorizar verificações antes de recomendar instalações, incluindo validação de existência de pacotes e consultas em fontes confiáveis.
O futuro da programação com IA dependerá de encontrar equilíbrio entre produtividade e segurança.
O HalluSquatting mostra que a próxima geração de ameaças não necessariamente explorará apenas falhas no código. Ela poderá explorar decisões automatizadas tomadas por sistemas inteligentes.
A Inteligência Artificial continuará sendo uma ferramenta poderosa para desenvolvedores, administradores Linux e equipes de segurança. Porém, quanto maior a autonomia desses agentes, maior deve ser o nível de controle e auditoria aplicado.
