Investigadores de la Universidad de Tel Aviv han descrito un nuevo ataque HalluSquatting, que aprovecha las alucinaciones de los agentes de IA. El problema es que los modelos pueden inventar con seguridad nombres de repositorios, bibliotecas o herramientas cuando no conocen la dirección exacta de un proyecto. En agentes autorizados a instalar y ejecutar código, ese error puede convertirse rápidamente en un riesgo real para el dispositivo del usuario.
El ataque se apoya en lo predecibles que pueden ser esas alucinaciones. Cuando aparece un repositorio nuevo y popular que aún no figura en los datos de entrenamiento del modelo, el bot puede «adivinar» una dirección de GitHub parecida: confundir al propietario del proyecto, repetir el nombre de la herramienta en el autor o cometer una simple errata. Un atacante registra de antemano un repositorio con esa variante y coloca allí código malicioso con apariencia de proyecto legítimo.
Cuando el usuario pide a un agente de IA que instale o ejecute la herramienta necesaria, el modelo puede elegir el repositorio falso en lugar del real. El agente descarga y ejecuta entonces código ajeno con los permisos que le ha concedido el usuario. Las consecuencias pueden ser graves: robo de datos y claves de acceso, instalación de malware o uso del equipo infectado para nuevos ataques.
Según los autores, los modelos actuales fallan con especial frecuencia en proyectos nuevos. En repositorios tendencia de 2025, la tasa media de error al identificar al propietario del proyecto rondó el 92%, y en algunos escenarios con habilidades de agentes llegó al 100%. Las herramientas de programación salen mejor paradas, pero el dato sigue siendo preocupante: en Cursor, Gemini CLI y Copilot, el éxito del ataque se estimó en 20–35%, mientras que OpenClaw y sus variantes podían acercarse al 80–100%.
La recomendación principal de los investigadores es clara: no dar permisos amplios a los agentes de IA ni permitir que instalen código sin verificar la fuente. Los bots deberían recibir instrucciones explícitas para buscar el repositorio oficial, comprobar enlaces y usar contexto adicional. Pero mientras muchos usuarios ejecuten agentes con acceso a archivos, claves API y cuentas de servicio por comodidad, HalluSquatting deja al descubierto una debilidad básica de este enfoque.