Una nuova tecnica di attacco chiamata HalluSquatting mostra come gli strumenti AI per sviluppatori possano essere manipolati per costruire botnet su larga scala. Il punto critico riguarda nove assistenti e agenti di coding molto diffusi: Cursor, Cursor CLI, Gemini CLI, Windsurf, GitHub Copilot, Cline, OpenClaw, ZeroClaw e NanoClaw. Tutti risultano esposti a una variante di prompt injection che non richiede di colpire una vittima alla volta.
Nel breve percorso della sicurezza dell’AI generativa, la prompt injection si è imposta come una delle minacce più difficili da contenere. I modelli linguistici non distinguono in modo affidabile tra istruzioni legittime date dall’utente e comandi ostili nascosti in email, codice sorgente o altri contenuti di terze parti. Gli sviluppatori dei motori AI possono costruire barriere e mitigazioni, ma il confine tra fonte fidata e fonte non fidata resta strutturalmente fragile.
Finora, molti attacchi di questo tipo erano basati su logiche “push”: l’avversario inseriva istruzioni malevole in un messaggio, in un invito di calendario o in un altro oggetto destinato a una vittima specifica. Questo limitava la scala dell’operazione. Gli attacchi “pull”, invece, dipendono dal fatto che sia il modello a cercare e recuperare contenuti compromessi, ma anche qui mancava un meccanismo capace di attirare grandi numeri di sistemi verso la stessa trappola.
HalluSquatting, abbreviazione di adversarial hallucination squatting, sfrutta un comportamento tipico degli LLM: la tendenza ad allucinare identificatori di risorse ospitate in repository e registri. Gli assistenti di coding, nel loro uso quotidiano, recuperano codice, pacchetti e altre risorse da ambienti esterni. Se un modello inventa l’indirizzo di un repository o di una “skill”, un attaccante può registrare in anticipo quell’identificatore plausibile e popolarlo con istruzioni dannose.
Il rischio aumenta perché questi strumenti spesso operano con accesso a terminali e shell integrate. Una risorsa contraffatta può quindi contenere istruzioni per installare una reverse shell o altro software malevolo. In questo modo l’attaccante non deve individuare ogni sviluppatore da colpire: gli basta presidiare risorse popolari o in tendenza, massimizzando la probabilità che gli agenti AI finiscano per recuperarle durante normali attività di sviluppo.
Gli scenari descritti includono campagne ransomware estese, mining di criptovalute e grandi attacchi DDoS. Il paragone tecnico è con il typosquatting, pratica in cui un dominio o un pacchetto imita il nome di una risorsa legittima per indurre l’utente a installarla. Nel 2016, un caso su PyPI, RubyGems e NPM coinvolse 214 pacchetti contraffatti, eseguiti oltre 45.000 volte su più di 17.000 domini separati.
Il punto di partenza dell’attacco è la difficoltà degli LLM nel localizzare correttamente una risorsa indicata dall’utente. Quando uno sviluppatore chiede a un agente di clonare un nuovo repository popolare, il modello può sbagliare posizione fino all’85% delle volte. Nel caso delle skill in tendenza, le allucinazioni possono arrivare al 100%. Le risorse nuove sono particolarmente esposte perché spesso non compaiono nei dati di addestramento e possono accumulare molti download in poco tempo.
Il problema non sembra limitato a un singolo modello. Le allucinazioni sono state osservate a livello fondativo in sei LLM principali, tra cui Gemini-2.5-flash, Gemini-2.5-pro, GPT-5.1, GPT-5.2, Sonnet-4.5 e Opus-4.5. I modelli seguono pattern ricorrenti e prevedibili, per esempio generando slug del tipo repo-name/repo-name, trattando il nome del repository come se fosse anche il proprietario.
La ricerca indica anche una differenza netta tra risorse storiche e risorse recenti: per i repository pubblicati prima del 2019, il tasso medio di allucinazione scende allo 0,9%. La superficie di rischio si concentra quindi dove gli agenti AI sono più utili e più sollecitati: nell’inseguire librerie, strumenti e capacità appena emerse. Per imprese e team di sviluppo, il messaggio operativo è chiaro: l’automazione agentica deve essere governata come un ambiente esecutivo ad alto privilegio, non come un semplice assistente conversazionale.